KT, 불법 기지국 통한 개인정보 유출 인정…5,561명 피해 가능성

KT가 최근 발생한 무단 소액결제 사태의 일환으로, 불법 설치된 초소형 기지국을 통해 이용자 총 5,561명의 개인정보가 유출됐을 가능성을 확인하고 이를 개인정보보호위원회에 공식 신고했다.

이번 사태의 핵심은, 불법적으로 설치된 ‘초소형 기지국(스몰셀)’이 일부 이용자의 스마트폰 신호를 가로채면서 가입자식별정보(IMSI)가 유출됐다는 데 있다. IMSI는 각 이용자에게 부여되는 고유 번호로, 이동통신 서비스에서 통신망 인증 등에 활용되는 민감한 정보이며, 각자의 유심(USIM) 칩에 저장된다. KT는 해당 기지국의 신호를 수신한 이력이 있는 이용자를 대상으로 조사를 벌였고, 그 결과 5,561명이 정보 유출 위험군에 포함된 것으로 판단했다.

KT는 사태 발생 이후 대응에 속도를 내고 있다. 9월 11일 김영섭 대표이사는 서울 종로구 본사에서 긴급 기자회견을 열고 "국민과 고객, 유관 기관에 심려를 끼쳐 죄송하다"며 고개를 숙였다. 김 대표는 “정부 기관과 함께 사고 경위를 면밀히 파악 중이며, 추가 피해를 막기 위해 기술 차원의 대응책을 마련할 것”이라고 밝혔다. 또 피해 고객 전원에 대해 100% 보상을 검토 중이라고 덧붙였다.

KT는 이날 오후부터 개인정보 유출 대상 이용자에게 문자 메시지를 통해 개인정보보호위 신고 사실과 함께 피해 확인 방법, 무료 유심 교체 신청 절차, 보호 서비스 제공 등에 대해 안내했다. 별도로 24시간 전용 고객센터도 운영에 들어갔다. 동시에 유심 칩 교체에 필요한 충분한 수량도 확보했다고 밝혔다. 이번에 제공되는 ‘유심 보호 서비스’는 타인의 IMEI(단말기 고유번호) 도용 등을 방지해 불법결제를 막기 위한 예방 조치로 보인다.

현재까지 밝혀진 바에 따르면, 이러한 불법 기지국은 정식 인증 없이 외부에 은밀히 설치돼 스마트폰의 통신을 가로채는 수단으로 악용됐다. 범죄자들은 이를 기반으로 이용자의 개인 정보를 탈취하거나 인증 체계를 뚫고 불법적으로 소액결제를 진행한 것으로 추정된다. 앞서 비슷한 방식의 피해 사례들은 해외에서도 보고된 바 있으며, 한국 내에서도 정부는 수년 전부터 이러한 ‘가짜 기지국’ 문제에 대한 경고를 내놓아 왔다.

이번 사건은 통신망 보안의 사각지대에서 발생한 사이버 범죄의 심각성을 드러낸다. 특히 이동통신사를 통한 신원 인증과 결제가 일상화된 상황에서, 통신 인프라 자체에 대한 신뢰 문제가 의심받을 수 있어 통신사들의 기술적∙제도적 대비책 마련이 시급한 과제로 떠오르고 있다. 정부와 통신사가 본격적인 재발 방지 시스템을 구축하지 않는다면, 유사 사고가 반복될 가능성도 배제할 수 없다.