“KT 소액결제 해킹, IMEI·폰번호까지 유출”…통신 인프라 보안 경각심

KT의 소액결제 해킹 사고에서 유출된 개인정보 범위가 확대되며, 통신 인프라 보안 체계의 근본적 취약성이 도마에 오르고 있다. KT는 18일 2차 브리핑에서 불법 기지국 팸토셀을 통해 가입자식별정보(IMSI)에 더해 단말기식별번호(IMEI), 휴대폰 번호까지 유출된 사실이 추가로 드러났다고 밝혔다. 기존 발표보다 피해 대상과 규모가 커져, 총 2만명이 기지국 신호를 받았고 이 중 무단 소액결제 피해자는 362명, 피해액도 2억4000만원을 넘어섰다. 최근까지 결제 오류 로그와 통화 패턴, 불법 기지국ID 등 데이터 정밀 분석이 이어졌으나, 여전히 핵심 쟁점인 결제 시스템 연동 및 ARS 인증 취약점 해킹 방식은 규명되지 않았다. KT는 “용의자가 검거됐으니 기지국 실물 등 추가 사실관계가 밝혀질 것”이라며 경찰 및 민관합동조사단과 협력 중임을 밝히고, 유출 고객 전체에 대한 정보보호·금전 보상책 강화를 약속했다.

팸토셀 기지국이란 실내에서 휴대폰 신호를 증폭·중계하는 소형 기지국 장치를 뜻한다. 기존에는 IMSI(가입자 식별번호)만 위험 정보로 부각됐는데, 이번 조사에서 IMEI(단말 식별번호), 휴대폰 번호도 함께 노출됨이 파악됐다. 그러나 KT는 “IMSI·IMEI만으론 복제폰 제작이 불가하고, 유심 내 인증키는 외부 유출 구조상 불가능하다”는 점을 재차 강조했다. GSMA(세계이동통신사업자협회) 규격에 따라 인증 관련 보호 장치가 적용돼있고, 인증키는 무선으로 송수신되지 않는다는 해석이다.

결제 피해의 구체적 경로 역시 남은 미스터리로 남아 있다. ARS(자동응답시스템) 인증만으로 피해자의 추가 정보 입력 없이 결제가 이뤄진 데 대해, KT는 “불법 팸토셀이 KT 망과 실제 어떻게 연동됐는지 아직 밝혀지지 않았다”고 설명했다. 현 시점에서는 복제폰 제작 가능성, 교체 정황 등은 없다고 선을 그었으며, 불법 기지국의 실제 개수, 피해 지역 범위 등도 경찰·KISA(한국인터넷진흥원) 등과의 합동 정밀 조사를 통해 추가 확인될 전망이다.

최근 글로벌 주요 통신사들도 유사 사고 대응책 개발과 인증 강화에 나선 바 있다. 미국, 일본 등에서는 기본적으로 통신망 내 다중 인증(생체, 2단계 게이트) 강화 정책이 확대되는 추세다. 정부 역시 긴급히 소액결제 2차 인증 강화 대책을 발표했으며, KT는 12일부터 패스(PASS) 등 생체·핀번호 인증 도입을 1차 적용했다. 아울러 발신이력 없는 미사용 팸토셀 4만3000대의 즉각적 차단, 인프라 관리 체계 강화 등 추가 보완책도 내놨다.

한편, IMEI·휴대폰 번호 등 2차 정보 유출에 따른 피해 확산 가능성이나, 장비 미관리로 인한 추가 사고 우려도 지적된다. KT는 “유출 정보로 인한 2차 금전 피해는 100% 책임지겠다”고 밝혔으나, 산업계 전반에선 이동통신·결제 플랫폼의 인증 구조 개선 및 노후 장비 대대적 재정비가 시급하다고 보고 있다.

전문가들은 “통신망 정보가 해킹 경로로 악용된 첫 사례로, 망 인프라의 독립적 보안성부터 이용자 인증까지 전면 개선이 불가피해진 계기”라면서 “기술 속도가 아닌, 네트워크·보안 구조 개선이 산업 경쟁력의 본질적 과제가 됐다”고 진단했다. 산업계는 이번 사태가 실제 시장 신뢰 회복과 근본적 안전성 강화의 분기점으로 이어질지 예의주시하고 있다.