KT, 가입자식별번호(IMSI) 유출 가능성에 개인정보위 신고

결제인증에 필요한 정보도 위험…개인정보위 "조사로 확인"

[디지털데일리 김보민기자] KT에서 발생한 무단 소액결제 사고가 개인정보 유출 이슈로 번지고 있다. 유출 가능성이 있는 정보는 가입자식별번호(IMSI)로, 불법 초소형 기지국을 통해 노출이 된 것으로 추정되고 있다.

일각에서는 IMSI 외 다른 정보가 유출됐을 가능성이 있어, 전방위적인 실태 점검이 필요하다는 의견이 제기된다. 유출 신고를 받은 개인정보보호위원회(이하 개인정보위)는 조사를 통해 유출 범위를 확인할 계획이다.

11일 개인정보위는 무단 소액결제 사건과 관련해 KT로부터 개인정보 유출 신고를 접수했다고 밝혔다. 신고가 접수된 시점은 이날 오후 2시51분이다.

KT는 휴대폰 등 고객 단말 통신 과정에서 불법 초소형 기지국 접속으로 인해 이용자 5561명의 IMSI의 유출 가능성을 확인했다. IMSI는 통신사가 사용자를 식별하기 위해 유심(USIM) 안에 저장된 정보로 국가코드, 통신사 코드, 개인고유번호(전화번호)로 구성된다.

그간 KT는 이번 사태와 관련해 개인정보 유출이 없다는 입장을 고수해왔다. 전날 과학기술정보통신부(이하 과기정통부) 브리핑에서도, 개인정보 유출 정황이 없다고 다시 한번 강조했다. 개인정보 유출에 마지막으로 선을 그은 지 약 하루 만에 입장을 바꾼 것이다.

김영섭 KT 대표는 이날 취재진을 만나 "최근 소액결제 피해 사고로 크나큰 불안과 심려를 끼쳐드린 점 사과드리고자 무거운 마음으로 이 자리에 섰다"며 "국민과 고객, 유관기관 여러분께 염려를 끼쳐 죄송하고 피해 고객에게 머리 숙여 죄송하다는 말씀을 드린다"고 말했다.

KT 소액결제 사고와 관련해, 개인정보 유출이 있었을 것이라는 관측은 이전부터 제기돼 왔다.

사이버보안 기업 서프샤크는 전날 "KT 피해자들의 개인정보가 네트워크 장치 해킹과 브라우저 트래픽 스니핑을 통해 외부로 유출됐을 수 있다"며 "이로 인해 결제 카드 정보가 도난당했을 것으로 보고 있다"고 제보한 바 있다. 시민단체 서울YMCA 시민중계실은 "해커들이 실제 존재하지 않는 가상의 유령 기지국을 구축해 KT망에 침입했다고 한다"며 "이용자가 해당 지역에 들어오면 휴대전화가 자동 접속되며 고유 가입자식별번호 등 개인정보가 해킹되고소액결제가 발생했다는 것"이라고 의문을 제기했다.

현재 보안업계에서는 IMSI 외 개인정보 혹은 고객 정보가 유출됐을 가능성도 점치고 있다. 익명을 요구한 국내 보안기업 관계자는 "피해자들 사이 공통적으로 인증 절차가 자신도 모르는 새 풀렸다는 점을 주목해야 한다"며 "공격자가 해당 번호를 소유한 것인지 등 추가 확인이 필요한 부분"이라고 말했다.

소액결제가 되려면 이름과 주민등록번호를 비롯해 필수 개인정보를 인증할 필요가 있어, 사전에 다른 정보 또한 유출된 것이 아니냐는 의혹도 제기된다.

학계에서는 여러 시나리오가 존재하는 만큼 이를 기반으로 조사가 추진돼야 한다고 말하고 있다. 다만 이번 사태에 대한 섣부른 추측은 지양해야 한다는 분위기다.

권헌영 고려대 정보보호대학원 교수는 "확인하기 쉽지 않은 부분"이라며 "(정보가 흘러나간 범위가) 단말기 인증 단에서 정리가 된 것인지, 아니면 단말기 자체가 장악이 된 것인지 여러 시나리오가 가능하다"고 말했다. 이어 "(공격자가) 미리 개인정보를 확보해 통신 신호를 낚아챈 뒤 이를 매칭(matching)했을 수도 있다"며 "다만 상상만 할 것이 아닌, 본질적인 조사를 진행하고 궁극적으로 정부가 종합 대책을 내놓아야 한다"고 제언했다.

박춘식 아주대 사이버보안학과 교수는 "소액결제 측면에서 보면, (공격자가) 다크웹 등에서 정보를 구매하든 여러 방법으로 개인정보를 가지고 있다가 해킹을 했을 가능성이 있다"며 "문제가 된 초소형 기지국 '펨토셀' 측면에서 보면, 백도어나 악성코드를 심는 방법도 생각해 볼 수 있다"고 말했다. 박 교수는 "(다른 통신 보안사고와 비교했을 때) 매우 미묘한 사안"이라고 진단했다.

추가 정보 유출 여부는 조사를 통해 밝혀질 예정이다. 개인정보위 측은 "주민등록번호의 경우 사용이 엄격히 금지돼 있어 가능성이 낮지만, 본인인증을 위해서는 다른 개인정보가 필요하다"며 "때문에 IMSI 외 다른 정보유출도 열어놓고 조사를 통해 확인할 예정"이라고 말했다.

한편 개인정보위는 조사를 통해 구체적인 유출 경위와 피해 규모, 안전조치 의무 준수 여부를 확인할 방침이다. 개인정보보호법 등 법 위반 사항이 발견될 경우, KT는 관련 법령에 따라 처분을 받게 된다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -