| 한스경제=박정현 기자 | KT는 18일 소액결제 해킹사고 관련 기자간담회에서 국제단말기식별번호(IMEI)와 휴대폰 번호 유출 사실을 인정했다. 지난 11일 국제이동가입자식별번호(IMSI) 유출 정황을 인정한 데 이어 피해 범위가 한층 확대된 것이다. 피해 고객은 278명에서 362명으로 늘었고 누적 피해액도 1억7000만원에서 2억4000만원으로 증가했다.
KT는 기존 상품권 결제 외에도 교통카드 등 다른 유형의 소액결제 피해를 추가 확인했다. 아울러 불법 펨토셀 ID 2개를 추가 추적해, 총 4개 불법 기지국에서 2만명이 신호를 수신한 정황을 밝혔다. 이 과정에서 IMSI와 함께 IMEI, 휴대폰 번호까지 유출된 사실이 드러났다.
김영걸 KT 서비스프로덕트본부장은 이날 “362명을 최종 피해자로 보고 있으며 더 이상 피해자가 늘어나지 않을 것으로 판단한다”고 밝혔다. 그는 “앞서 적발된 불법 펨토셀 2개는 많은 고객이 이용해 피해가 컸지만, 추가로 확인된 2개는 하루 한 차례만 작동해 발견이 늦었다”며 “4개 기지국에서 발생한 피해 유형은 모두 파악한 것으로 본다”고 설명했다.
이어 “불법 아이디가 4개 확인된 만큼 실제 사용된 불법 하드웨어 기기의 수가 드러날 것”이라고 덧붙였다.
KT가 IMEI 유출을 인정한 것은 입장을 두번 번복한 셈이 된다. 앞서 KT는 10일 과학기술정보통신부에 개인정보 유출이 없다고 발표했다가 11일 IMSI 유출 정황을 인정했다. 이어 이 날 IMEI와 휴대폰 번호 유출을 시인했다.
구재형 KT 네트워크기술본부장은 “이전에는 이용자 단말기를 완전히 파악하지 못했다”며 “추가 피해가 발생한 것에 대해 송구스럽게 생각한다”고 밝혔다. 그는 “IMEI 콜 분석 과정에서 휴대전화 교체 정황은 확인되지 않았다”며 “현재는 한국인터넷진흥원(KISA)에 모든 데이터를 제공하고 있다”고 사과했다.
KT 소액결제 해킹사고의 유력 용의자가 16일 검거되면서 확산세는 다소 수습 국면에 접어들었다. 그러나 소액결제 침해 사고의 핵심 미스터리인 인증 경로는 여전히 규명되지 않았다. IMSI는 가입자 식별용 번호에 불과해 결제에 필요한 성명, 주민등록번호, 생년월일 등 개인정보를 포함하지 않음에도 불구하고, 해킹이 어떻게 결제까지 이어졌는지는 아직 규명되지 않았다.
최악의 경우인 복제폰 가능성은 없는 것으로 보인다. 손정엽 KT 디바이스사업부 본부장은 불법 복제폰 가능성에 대해 “IMEI를 알더라도 인증키 값을 모르면 불법 복제는 불가능하다”며 “인증키는 유심과 서버에 안전하게 암호화되어 저장돼 있어 외부로 유출되지 않는다”고 말했다.
김 본부장은 “현재 확인된 정보만으로는 해커가 할 수 있는 행위를 KT가 아직까지 파악하지 못하고 있다”고 했다.
KT는 정부의 민관합동조사단의 조사에 협력하며 피해 고객에 대한 조치를 이어갈 예정이다.
피해 구제와 관련, KT는 이번 사태로 인해 발생하는 금전적 피해에 대해서는 100% 책임지고 피해 고객에 대해 추가 보상방안을 마련할 방침이다.
또 ‘KT 안전안심보험’을 3년간 무상 제공한다. 선제 조치와 관련해선 생체정보 인증 등을 도입할 계획이다.
펨토셀 관리 강화도 예고됐다. KT는 해킹 사건 이후 3개월 이상 사용 기록이 없는 4만3000대의 펨토셀 장비를 우선 차단했다고 밝혔다. 현장에 설치되지 않은 장비는 망 접속을 차단하고 정상 사용중인 장비 역시 개별 확인 후 회수 또는 차단할 계획이다.
김 본부장은 "피해 규모를 보면 커버리지가 상당히 넓어, 더 큰 장비를 추가로 연결했을 가능성이 있다"며 "저희 망에 분명히 붙어 있었다는 점에서 KT가 사용하는 펨토 시스템에 연결됐는지, 아니면 외부 장비에 연동 정보가 들어가 있는지 두 가지 가능성이 있다"고 설명했다. 이어 "조만간 경찰 조사와 내부 확인을 통해 정확한 답변을 드릴 수 있을 것"이라고 했다.
KT는 전향적 검토 의사를 밝힌 위약금 면제에 대해선 말을 아꼈다. 김 본부장은 "현재는 (구제) 조치에 주력하고 있으며, 추가 보상을 할 시점까지 고민은 못하고 있다"고 했다.
KT에 따르면 지난주부터 민관합동조사단은 KT를 조사하고 있다. 조사는 현재 중간 단계 상태로 아직까지 완료된 항목은 없는 것으로 알려졌다.
박정현 기자 awldp219@sporbiz.co.kr