KT의 소액결제 피해자가 당초 278명에서 362명으로 늘며 누적 피해 금액은 2억4000만원으로 집계됐다. 다만 KT는 ‘추가적인 피해 발생 가능성은 없을 것’이라고 강조했다.
KT는 18일 KT 광화문 West 사옥에서 소액결제 피해 관련 기자회견을 열고 이같이 밝혔다. 불법 초소형 기지국(펨토셀)은 ID 2개 외 2개의 ID를 더 확인했으며 총 2만30명의 가입자(알뜰폰 포함)의 가입자식별번호(IMSI)와 기기식별번호(IMEI), 휴대전화 번호가 유출된 정황을 확인했다고 말했다. 이에 개인정보보호위원회에 2차 개인정보 유출 신고를 진행했다.
KT는 VOC 기반 조사 결과에 더해 비정상 소액결제 패턴인 △결제 시간대 및 간격 △결제업체‧금액변화 △결제 시 접속 패턴 등의 추가 조사를 진행했다. 또 불법 펨토셀의 동작 방식인 접속 시간 및 집중도, 오류 응답 로그 비중 등도 살펴본 결과 추가 피해를 발견했다.
구재형 KT 네트워크 기술본부장은 “VOC(고객 문의)는 고객이 문제점을 제시 후 분석하는 한계점이 있었다”며 “이번에 발견된 펨토셀 ID 2개는 실제 작동하는 시간이 상당히 짧아 신호를 수신한 고객은 많지 않았다”고 말했다.
이어 “피해 유형들에 대해 거의 완결적으로 최대한 찾아냈다고 보고 있다”며 “9월5일 이후 추가 피해는 없었다”고 강조했다.
그러나 KT의 발표가 있을 때마다 유출 정보가 추가되고 있어 가입자들의 우려는 여전하다. 게다가 아직까지 소액결제 원인을 파악하지 못했으며 불법 펨토셀의 실물도 확보하지 못한 상태다.
당초 KT는 개인정보 유출은 없다고 설명했으나 11일 1차 기자회견에서는 5561명의 IMSI가 유출됐다고 밝혔다. 이어 2차 기자회견에서는 총 2만30명의 IMSI 등 개인정보가 유출돼 복제폰 가능성도 제기됐다.
이에 KT는 유심 인증키가 유출되지 않아 복제폰 생성 가능성은 없다고 선을 그었다.
손정엽 KT 디바이스사업 본부장은 “임시 IMEI를 알더라도 인증키 값을 모르면 불법 복제폰은 불가능하다”며 “인증키 값은 KT 시스템 내부와 유심에 있고 안전하게 저장 또는 암호화돼 관리되고 있다”고 설명했다.
또 KT는 불법 펨토셀 사고 재발 방지를 위해 현재 보유 중인 18만9000대 펨토셀 가운데 3개월 이상 미사용 장비 4만3000대는 접속 연동을 중지한 상태다. 정상 사용하는 펨토셀도 관리를 강화하며 미사용 중일 경우 철거 및 회수할 방침이다.
구 본부장은 “이번 사고의 추정 원인은 저희가 사용한 펨토셀을 불법 개조했거나 더 큰 출력의 앰프를 연결한 것으로 보고 있다”며 “또는 고출력 불법 무선 장치에 저희 펨토셀의 연동 정보를 탑재한 것으로 추정 중”이라고 말했다.
다만 소액결제에 필요한 ARS 인증에는 다른 개인정보가 필요한 부분이 있으나 경찰 수사가 끝나야지 알 수 있다는 입장이다.
KT는 피해 가입자 전체를 대상으로 청구 조정 중에 있다. 기존 278명의 청구 조정을 11일 완료했으며 잔여 피해자 84명도 19일까지 마무리할 예정이다. 또 이미 납부가 된 가입자는 환불 처리할 예정이다.
이번 사건을 계기로 KT는 전국 2000여개의 매장을 ‘안전안심 전문매장’으로 전환한다. 또 피해 고객을 대상으로 향후 휴대폰 통신기기 사용과 연계해 발생하는 금융 사기 피해를 보상하는 ‘KT 안전안심보험(가칭)’을 3년간 무료로 제공한다. 해당 보험은 현대해상과 DB손해보험과 협의를 진행 중인 상황이다.
김영걸 KT 서비스 프로덕트 본부장은 “금전적 피해가 발생할 경우 KT가 100% 책임질 것이며 추가 보상 방안도 신속히 마련할 것”이라며 “위약금 면제는 전향적으로 검토할 것이며 고객 입장에서 신속하게 말하겠다”고 전했다.
개인정보위도 KT로부터 이날 오후 1시 2차 개인정보 유출 신고를 추가로 접수했다고 발표했다.
개인정보위는 “10일 조사에 착수해 구체적인 유출 경위 및 피해규모, 안전조치 의무 준수 여부 등을 확인 중”이라며 “추가 신고 내용을 포함해 법 위반 발견 시 관련 법령에 따라 처분할 예정”이라고 전했다.
