“IMSI 넘어 이름까지”…KT 개인정보 유출, 통신보안 경보음

최근 KT를 대상으로 이뤄진 대규모 무단 소액결제 사태가 통신망 해킹을 통한 다중 고객정보 유출로 번지며, 이동통신 보안 체계 전반에 경고음을 울리고 있다. 국제이동가입자식별정보(IMSI)만이 아니라, 이용자 이름, 전화번호, 생년월일 등 핵심 개인정보까지 해커에 의해 확보된 정황이 드러난 데 따른 것이다. 정보통신망 내 개인정보 관리의 취약성이 드러나면서, 업계에서는 “통신사 자체 보안체계 강화와 제도적 감시 필요성의 분기점”이라는 평가가 나온다.

배경훈 과학기술정보통신부 장관은 11일 국회 상임위에서 “KT 고객 무단 소액결제 사건에 연루된 해커가 IMSI 외에도 다수의 고객 핵심 정보를 보유한 것으로 추정된다”고 밝혔다. 이는 과거 단순 IMSI 유출만으로 직접적 결제가 어렵다는 점에서, 해킹 범위가 더 넓어졌다는 의미다. 실제로 KT는 불법 초소형 기지국 활용으로 최소 1만9000명 이상이 신호를 받아, 이 중 5561명의 IMSI가 유출된 정황과, 약 1억7000만원 피해 규모를 확인했다고 설명했다.

IMSI(국제이동가입자식별정보)는 이동통신 가입자를 식별하기 위한 고유번호로, 일반적으로는 휴대전화 도용이나 결제 피해에 바로 연결되지는 않는다. 하지만, 해커가 이름, 전화번호 등 다른 개인정보를 동시에 확보했다면, 모바일 결제·인증 시스템에서 타인 명의로 직접 결제가 가능한 구조적 취약점이 된다. 이번에 드러난 수백 건의 실제 피해가 그 사례다. 기존 소액결제가 주로 스미싱 문자를 통한 사용자 유도에 기반했다면, 이번 사건은 본인 몰래 정보 자체가 탈취된 점에서 방식과 심각성이 다르다.

KT는 피해 고객들에게 선제적 유심 무상교체, 타사 이동 시 위약금 면제, 금전 피해 100% 보상 등 강도 높은 대응책 마련에 나섰다. 정부 또한 한국인터넷진흥원(KISA) 중심 민관합동조사단을 꾸려, 사건 원인 규명과 통신사 보안체계 전수 조사에 착수한 상태다. 다만 배장관은 “초동대응이 늦었다”며, 통신사 자체 신고 의무화 등 현행 법체계 개선 필요성을 언급했다.

글로벌 통신업계에서는 IMSI 등 통신정보 유출이 국가기간망 보안과도 직결된다는 점에서, 미국 FCC·유럽 GDPR 등 주요국도 이동통신사업자 보안 규제 강화에 나선 상황이다. 전문가들은 “기지국 신호 위장·변조, 그리고 다중 개인정보 탈취를 막는 체계적인 모니터링과 신기술 투자가 시급하다”고 지적했다. KT의 이번 전례가 국내 통신보안과 개인정보 보호제도 전반의 업그레이드 계기가 될지 주목된다. 산업계는 이번 사태의 기술적 원인뿐만 아니라, 보안·윤리·제도에 이르는 기반 강화를 실제로 이끌어낼 수 있을지 지켜보고 있다.