“소액결제 해킹에도 ‘뒷북’”…KT, 개인정보 유출 끝내 시인

KT의 무단 소액결제 해킹 사태가 통신 산업 보안의 신뢰도를 흔들고 있다. 회사가 “개인정보 유출이 없다”고 밝힌 뒤에도 피해 규모와 사고 경위가 연이어 드러나고, 공식 보고·주요 조치가 늦어지면서 KT의 사고 대응 체계에 대한 업계의 우려가 크다. 업계는 이번 사고를 ‘통신사 정보보호 역량’ 논란의 분기점으로 보고 있다.

KT 김영섭 대표와 경영진은 11일 긴급 기자회견에서 소액결제 피해 및 개인정보(가입자식별정보, IMSI) 5500여 건 유출을 공식 시인했다. KT는 이날 기존 “유출 정황이 없다”고 하던 입장을 번복했고, 관련 사실을 개인정보보호위원회에 이날 최초 신고했다. 피해가 접수된 지 15일, 경찰 통보 10일, 언론 공개 나흘 만에 공식 인정·사과 발표가 이뤄진 셈이다.

이번 사고의 원인은 불법 개조된 초소형 기지국(피코 기지국) 신호에 휴대폰이 접속, 일부 데이터가 외부로 탈취된 데서 비롯됐다. 피코 기지국은 원래 실내 등 음영 지역 통신 품질을 높이기 위해 쓰는 소규모 장비지만, 불법 개조로 송수신 범위와 신호 도용이 가능해지면 휴대폰이 정식 네트워크로 오인, 데이터가 흐를 수 있다. 특히 이번 사고는 기존 통신 인프라 보안 시스템이 고도화된 “IMSI 캐처(가입자식별정보 포획)” 수법에 취약하다는 점을 노출했다.

KT는 통신망 1년치 이력을 분석해 불법 기지국 2대를 파악했으며, 이 신호에 노출된 가입자 1만9000여명의 유심 카드를 모두 무상 교체하기로 했다. 실제 IMSI 값 유출 가능 가입자 5661명에게 별도 고지하고, 번호이동 위약금 면제 등 보상책도 검토 중이다. 이미 발생된 금전 피해 278건(약 1억7000만원 규모)에 대해서도 100% 환불·손실 보장을 약속했다.

하지만 사고 발생에서 원인 규명, 신고와 대국민 안내까지 모든 단계가 늦어졌다는 점에서 논란은 확산 중이다. 경찰은 지난달 27일 첫 신고에 이어 한 달간 60건 넘는 유사 피해를 파악해 1일 KT 측에 통보했다. 그러나 KT는 사흘간 소극적 조치만 취했고, 같은 기간 회사 공식 답변에서는 “스미싱(문자 취약점) 등 이용자 부주의”를 원인으로 지목했다.

국회 과학기술정보방송통신위원회와 더불어민주당에서는 “은폐 시도 및 뒤늦은 신고” 등 조직적 대응 문제를 지적했고, 대통령 역시 “보안 투자를 비용으로 여기는 기업 문화” 문제를 공개 언급했다. 글로벌 수준과 비교할 때, 국내 통신 인프라에 대한 보안 점검·사고 관리 프로토콜이 미흡하다는 지적도 잇따른다.

한편, 네트워크 장비 해킹 이후 개인정보와 금융정보 동시 노출 사례가 늘면서, 유심(USIM) 보안, 기지국 접속·감시 강화 등 기술 업그레이드와 정부 차원의 관리·감독 강화가 숙제로 떠오른다. 업계 전문가들은 “노출 정보가 실시간 인증 또는 금융거래에 쓰이는 IMSI 등 핵심데이터인 만큼, 통신사와 정부 간 위기공유 체계 구축 및 사고 공개의 투명성이 산업의 전환점이 될 것”이라 내다봤다. 

산업계는 이번 KT 사고가 한국 통신 보안 체계와 대응 시스템의 전면 재점검 계기가 될지 주목하고 있다.