개인정보보호위 신고…기술·제도 보완책 마련 약속
[HBN뉴스 = 한주연 기자] KT가 관리 사각지대의 불법 기지국에 접속한 개인정보 유출 의심 이용자 피해가 지난해 10월부터 있었던 것으로 파악됐다.
KT는 17일 서울 종로구 광화문 사옥에서 무단 소액결제 및 해킹 사태에 관한 전수 조사 결과를 공개했다.
 |
| 서창석 KT 네트워크 부문 부사장이 17일 서울 종로구 KT광화문빌딩 웨스트에서 소액결제 및 개인정보 유출 피해 관련 전수 조사 결과를 발표하기 앞서 사과하고 있다. [사진=연합뉴스] |
KT는 먼저 불법 기지국 ID가 기존에 알려진 4개에서 20개로 늘었고 해당 ID에 접속한 이력이 있는 이용자 수가 2200여명 추가 파악돼 2만2200여 명이라고 집계했다.
해당 불법 ID에 이용자 휴대전화가 접속한 사례는 지난해 10월 8일부터 시작됐고 총접속 일수는 305일에 달한다. 접속 범위도 서울, 경기 등 기존의 무단 소액결제가 일어난 지역을 넘어 강원도까지 확장됐다.
KT는 불법 기지국 ID의 최초 접속 시점이 아닌 최초 발견 시점에 대해 검증을 진행 중이라고 밝혔다.
KT는 지난해 8월 1일부터 지난달 10일까지 이뤄진 모든 통신 과금 대행 결제내용 약 1억5000만 건을 분석했다고 밝혔다. 소액결제 8400만 건과 앱 마켓에서 콘텐츠 구매 시 통신 요금에 합산해 결제하는 DCB(Direct Carrier Billing) 방식 6300만 건을 합친 것이다.
KT는 기존에 자동응답방식(ARS)으로 이뤄진 결제만 조사 대상으로 삼았다가 소극적 대응이라는 지적에 문자메시지(SMS), 통신사 패스(PASS) 인증을 통한 결제까지 범위를 확대했고 ARS 인증뿐 아니라 SMS 인증을 통해서도 무단 소액결제 63건이 이뤄진 사실을 새로 발견했다고 전했다.
KT는 SMS 인증 문자 암호화가 이뤄졌는지에 대해 "민관 합동 조사단 결과가 나오면 밝힐 수 있다"고 설명했다.
다만 PASS 인증과 앱 마켓 구매 시 통신 요금 합산 결제(DCB)에서 이상 결제는 발견되지 않았다. 휴대전화와 기지국 간 접속 기록 4조400억 건을 조사한 결과 불법 기지국 아이디가 16개 추가돼 총 20개로 늘었다. 이들 ID의 접속 이력과 전체 결제 데이터를 교차 검증한 결과 불법 기지국 ID에 접속한 인원 2200여명이 추가로 드러났다.
추가로 확인된 불법 펨토셀 ID 16개 중 1개의 ID에서만 무단 소액결제 의심 건이 6명을 대상으로 일어난 것으로 확인됐다. 피해 금액은 총 319만원이다.
KT는 무단 소액결제가 최초로 발생한 시점이 당초 확인과 동일하게 8월 5일부터이며 비정상적인 소액결제 시도를 차단한 지난달 5일 이후 새로운 결제 피해가 발생하지 않은 것을 재확인했다고 밝혔다.
KT는 이번 조사 결과를 개인정보보호위원회 등 관계 기관에 보완해 신고했고 추가로 피해가 확인된 고객에 대한 보호 조치도 이행 중이라고 밝혔다. 또한 대규모 전수 조사에 시간이 소요된 점에 대해 사과하고 정부 조사와 경찰 수사에 성실히 협조하는 한편 재발 방지를 위한 기술·제도적 보완책을 마련하겠다고 전했다.
[저작권자ⓒ HBN뉴스. 무단전재-재배포 금지]
