"무단 소액결제, 해외서도 전례 없다"…KT 유출사고 향배는

[디지털데일리 김보민기자] KT에서 발생한 무단 소액결제 사고가 해외에서도 전례가 없다는 평가가 이어지고 있다.

12일 시민단체 서울YMCA 시민중계실은 "최근 불법 기지국 관련 해외 사례를 살펴봐도 영국 맨체스터, 일본 도쿄 및 오사카 등에서 발생한 피해는 스미싱(피싱 문자) 수준에 그친다"며 "고객이 모르는 사이 인증 문자를 탈취하거나 실제 금전 결제까지 연결된 사례는 극히 찾아보기 어렵다"고 지적했다. 이어 "이번 KT 해킹 사태처럼, 통신 코어망과 연결된 직접적인 소액결제 피해로 이어진 경우는 매우 이례적"이라고 강조했다.

이 같은 평가는 이전부터 제기돼 왔다. 특히 고객 또는 KT망 이용자만을 대상으로 경기 부천·광명, 서울 금천구 등 특정 지역에서 집중 피해가 발생한 점이 이유로 꼽히고 있다. 현시점에서 사고 원인과 수법을 특정하기 어려워, 추가 피해가 불가피할 것이라는 관측도 제기되고 있다.

전날 KT는 개인정보보호위원회(이하 개인정보위)에 신고를 마치며, 침해를 넘어 개인정보 유출 가능성까지 인정했다. 개인정보위에 따르면 KT는 휴대폰 등 고객 단말 통신 과정에서 불법 초소형 기지국 접속으로 인해 이용자 5561명의 가입자식별번호(IMSI)의 유출 가능성을 확인했다. IMSI는 통신사가 사용자를 식별하기 위해 유심(USIM) 안에 저장된 정보로 국가코드, 통신사 코드, 개인 고유 전화번호 등으로 구성된다.

일각에서는 IMSI 외 다른 개인정보 또한 유출됐을 수 있다는 의견이 나온다. 소액결제가 완료되기 위해서는 본인인증 등 절차를 거쳐야 하는데, 이 과정에서 다른 정보와의 결합이 필요했을 수 있다는 취지다. 본인인증을 위해서는 일반적으로 이름, 통신사명, 핸드폰번호, 생년월일 등이 필요하다. 사고 배후에 있는 공격자가 해당 정보를 별도 확보한 것인지, 혹은 우회하는 방법을 터득한 것인지 확인할 부분이다.

민관조사단을 꾸린 정부 또한 IMSI 외 다른 정보가 유출됐을 가능성을 염두에 두고 있다고 시사했다. 배경훈 과학기술정보통신부(이하 과기정통부) 장관은 전날 전체회의에서 IMSI 외 이름, 전화번호 등이 유출됐을 가능성이 있냐는 질문에 "그렇다고 추정된다"고 답했다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -