KT '펨토셀 보안 구멍'에 IMSI 유출… 소액결제 악용 우려 확산

KT가 최근 발생한 무단 소액결제 피해와 관련해 공식 사과하고, 일부 고객의 가입자식별정보(IMSI) 유출 사실을 인정하면서 통신망 보안에 대한 우려가 커지고 있다. 회사는 보안 사고의 배경에 대해 일부 해명을 내놨지만, 핵심 경로와 수법은 여전히 불분명한 상태다.

이번 사건은 KT 네트워크에 정상적으로 등록되지 않은 불법 초소형 기지국(일명 펨토셀)을 통해 벌어진 것으로 확인됐다. KT 측에 따르면, 해당 장비는 과거 자사 장비일 가능성이 있으며, 폐기 과정에서 외부로 유출돼 악용된 것으로 추정되고 있다. 이 펨토셀을 통해 고객들이 자기도 모르게 접속하면서, 총 1만 9천여 명이 신호를 수신했고 이 중 5천561명의 IMSI 정보가 외부로 전송됐다.

IMSI는 이동통신 네트워크 상에서 가입자를 식별하는 고유 번호로, 단독으로는 소액결제에 바로 이용되기 어렵다. 하지만 업계에서는 해커가 추가적인 개인정보—예컨대 이름이나 주민등록번호—를 이미 입수했을 가능성을 제기하고 있다. 이는 다크웹 등에서 개인정보가 거래되는 환경을 감안할 때 현실적인 우려다. 특정 인증 절차를 통과하기 위해선 이러한 정보가 필수이기 때문에, IMSI만 유출됐다고 해서 결제가 가능했던 설명은 부족하다.

KT는 피해 확산 방지를 이유로 지난 5일부터 비정상 결제를 차단하고 소액결제 한도도 낮췄으며, 8일에는 한국인터넷진흥원(KISA)에 침해 사실을 신고하고 신규 펨토셀 등록을 중지했다. 또한 개인정보보호위원회에도 공식적으로 정보 유출을 보고해 절차상 조치는 이행하고 있는 모습이다. 그러나 KT는 불법 기지국이 자사 네트워크에 연동된 경위나 결제 과정에 대한 구체적인 설명은 여전히 내놓지 못하고 있다.

이번 사태는 통신사 보안체계의 사각지대를 드러내며, 기존 장비 관리 시스템과 폐기 절차의 허점을 다시금 점검해야 한다는 목소리를 키우고 있다. 특히 펨토셀은 실내 품질 향상을 위해 설치되는 소규모 장비지만, 부적절하게 운용될 경우 고객의 민감한 정보까지 위협받을 수 있다는 사실이 확인됐다.

이 같은 흐름은 향후 통신사들의 보안 강화 및 장비 관리 체계 전면 재검토로 이어질 가능성이 있다. 또한 개인정보 수집 및 활용 과정 전반에 대한 법적·기술적 보호 장치 강화에 대한 사회적 요구도 커질 것으로 보인다. 수사 결과에 따라 유출 경로가 명확해지면, 보다 직접적인 재발 방지 대책도 나올 전망이다.