불법 소액결제로 인해 약 2만 명에 이르는 이용자의 단말기 식별번호 등 개인정보가 유출된 것으로 알려지면서, 불법 복제폰에 대한 사회적 우려가 커지고 있다. 하지만 KT는 복제폰 생성의 핵심 요소인 인증키값이 외부로 노출될 수 없는 구조라며, 복제폰 가능성을 일축했다.

KT는 9월 18일 서울 광화문 사옥에서 기자회견을 열고 이번 사건의 피해 규모 확대와 향후 보안 대책에 대해 설명했다. 특히, 이번에 추가로 확인된 피해자는 당초 발표됐던 5,561명에서 크게 늘어난 2만 명 규모다. 피해자들의 주요 개인정보는 단말기 식별번호(IMEI), 국제모바일가입자식별번호(IMSI), 휴대전화 번호로, 민간·정부가 함께한 추가 조사에서 이 같은 사실이 드러났다.

이번 유출 사고는 불법으로 설치된 초소형 무선기지국이 원인으로 지목되고 있다. 일반적으로 '펨토셀'이라 불리는 이 소형 기지국을 불법 설치한 후 근처 휴대전화에서 정보를 가로채 소액결제를 수행한 것으로 파악된다. KT는 프로세스 패턴과 기지국 로그 등을 분석해 불법 기지국 4개를 확인했으며, 이 중 2개는 하루만 작동했을 정도로 탐지 및 추적이 어려운 것으로 전해졌다.

KT는 불법 펨토셀 문제 차단을 위해 현재까지 이용 이력이 없는 펨토셀 약 4만 3천 대를 즉시 비활성화 조치했으며, 향후에는 관리 시스템을 고도화해 사용하지 않는 기기의 무단 악용 가능성을 원천 차단하겠다는 방침이다. 이와 함께 고객의 본인확인 방식도 강화될 전망이다. 기존 ARS 인증 외에도 생체 인증, 핀번호 등 다중 인증 절차를 도입해 피해 재발을 막겠다는 의지를 밝혔다.

KT는 복제폰과 관련해 기술적으로 원천 차단 구조를 갖추고 있다고 강조했다. 인증키값은 유심과 내부 서버에만 저장되며, 외부로 복제되거나 노출될 환경 자체가 없다는 것이다. 보안 측면에서도 통신사 매장을 전문화하고, 자사 통화 앱 등 보안 기술을 활용해 고객 응대 수준을 높이겠다는 설명이다. 또한 KT는 정보보호를 위해 향후 1조 원 규모의 보안 투자 계획을 밝히며, 우선순위를 모바일과 단말 보안 강화로 재배치하고 있다고 덧붙였다.

이 같은 흐름은 단순한 유출 사고를 넘어 통신 보안 전반에 대한 체계 정비로 이어질 가능성이 크다. 특히 모바일 단말기 환경이 점점 복잡해지는 가운데, 사용자 인증 방식과 기기 관리 체계를 강화하는 방향으로 통신사 전반의 대응 전략이 변화할 것으로 보인다. 이번 사태가 계기가 되어 자칫 사각지대에 있었던 초소형 무선기지국의 관리체계도 전면 재정비될 것으로 예상된다.