[뉴스웍스=박광하 기자] KT가 11일 불법 초소형 기지국을 통한 소액결제 피해 사건과 관련해 개인정보 유출 정황을 인정하며 전면 사과했다.

김영섭 KT 대표는 이날 서울 광화문 KT 사옥에서 기자간담회를 열고 "278건 약 1억7000만원의 소액결제 피해가 확인됐다"며 "100% 보상하겠다"고 밝혔다. 특히 5561명의 가입자 식별번호(IMSI) 유출 정황이 확인돼 개인정보보호위원회에 신고했다고 발표했다.

다음은 KT와 기자들 간의 일문일답이다. 

-IMSl 값만으로는 소액결제 피해까지 이르기 어렵다는 전문가 의견이 있다.

"IMSI 유출은 실제 단말에서 불법 초소형 기지국의 위치 등록을 하기 위해 쏜 메시지라고 볼 수 있다. 서버 HSS 같은 서버에서 유출된 것이 아니고 이 불법 기지국을 단말이 쏜 메시지가 통과됐기 때문에 유출 정황이라고 보고 신고했다. 추가로 IMEI나 주민번호 같은 정보들이 HSS에 저장돼 있는데 해킹된 이력이나 그런 것은 하나도 없었다고 말씀드릴 수 있다.

복제폰 관련해서는 IMSI만 단말이 쏜 IMSI만 기지국을 통과했기 때문에 불법 복제에 필요한 IMEI나 인증 키 값 이런 부분들은 전혀 이번에 노출되지 않았다고 말씀드릴 수 있다. IMEI나 주민번호 유출 확신 여부는 단말이 통화 접속 시도할 때 이런 주민번호나 이런 정보를 올리지는 않는다. 그런 부분은 이번에 민관 합동 조사나 경찰 수사를 통해서 밝혀질 것으로 보고 있다."

-9월 1일 수사기관으로부터 통보받았는데 당시 고객들에게 알리지 않은 이유는?

"통상 통보가 되면 개인정보가 넘어오지 않는다. 고객센터에 들어왔던 민원 접수 내용(VOC)들을 받아 분석하게 되는데, 그런 부분에서 좀 더 다량 발생한 부분에 대해서 조금 더 경계심을 가졌어야 했다. 통상적인 스미싱 사례로 파악을 했던 건데, (피해 사례들이) 모이면서 심각한 상황이라고 판단이 됐다. 그때부터 네트워크 관리 부서를 통해서 9월 5일에 잠정적인 제한 조치를 취했다. 어쨌든 여러 측면에서 조금이라도 빨리 대응하지 못한 부분에 대해 고객들께 심려를 끼쳐 드려 진심으로 사과드린다."

-5561명의 IMSI 정보가 모두 불법 초소형 기지국으로부터 유출된 것인가?

"5561명은 단말 메시지가 이 기지국을 거쳐 코어로 전달돼 위치 등록이 이뤄졌기 때문에 이 초소형 기지국을 거친 상태다. 정황이라고 말씀드린 것은 분명히 KT가 제어할 수 없는 시스템을 거쳤기 때문에 KT가 먼저 신고를 하게 된 것이다.

범죄 목적은 지금 경찰과 KT가 긴밀하게 공조를 해서 수사를 하고 있어서 이 부분은 수사 진행 상황에 따라서 말씀드릴 수 있을 것 같다. 추가적으로 범죄 목적에 대해서 다른 어떤 침해 정황이 있는지에 대해서는 KT가 네트워크 인프라뿐만 아니라 IT 인프라에서도 이와 유사한 정보를 보유하고 있다. 거기에 대해서도 KT가 내부 팀과 더불어 외부의 보안 전문가들을 통해서 같이 점검하고 있다."

-서버 폐기 관련 의혹에 대해 설명해 달라.

"서버 폐기에 대해서 말씀드리면 KT 같은 경우는 이 서버가 원격 상담을 위한 서비스였다. KT 고객이 PC 사용 중에 인터넷 사용 중에 접속이 어렵다는 장애를 겪으면 콜센터로 전화하게 된다. 그러면 상담원이 전화를 받고 원격으로 지원이 필요하다고 하면 원격 상담 웹사이트로 유도한다. 거기서 프로그램을 내려받도록 유도하는 그런 역할을 하는 서버라고 할 수 있다.

해당 시스템 서비스에서는 고객 정보를 일절 보유하지 않았고, 유출됐다고 하는 서버 인증서 또한 2022년 만료된 인증서였다. 서버 인증서는 본인 인증용이 아니라, 웹사이트를 신뢰할 수 있다고 증명하는 성격의 인증서다.

해당 서버, 서비스의 클라우드 전환이 2024년 9월부터 계획이 잡혀있던 사항이었다. 2024년 3월에 1차 병행 운영을 했고 2차 병행 운영은 2024년 7월에 한 번 했다. 그 결과 기존의 구축형 서비스보다 클라우드에서 돌아가는 구축형 솔루션이 상당히 뛰어나다고 판단했고 8월부터 서비스 전환을 계획한 바 있다.

그런데 KISA에서 해당 서비스에 대한 해킹 정황이 있으니 이에 대해 자체 점검하고 결과를 달라고 했다. KT가 7월 19일에 (KISA의 자체 점검 연락을) 수신했고, 이어 22일에 '이상 없음'으로 회신했다. 그 과정에서 KT가 올바르지 못한 판단을 했다. 추가적으로 7월 말까지 이 서비스에 대한 가이드가 없다 보니까 자체 서비스 전환 계획에 따라 VM을 삭제한 것이다."

-불법 초소형 기지국을 설치한 게 KT 내부일 수도 있다는 의혹이 있다

"KT 내부라는 부분은 확인된 바는 없고 KT가 봤을 때 분명히 이 통신에 관련해 상당한 지식이 있다는 정도는 유추할 수 있다. 이게 KT 직원이나 내부나 이런 정황은 아직까지 확인되지 않았고 수사를 통해서 확인될 것으로 보고 있다.

(불법 기지국의 실체를) 아직 본 건 아니고 공통된 소액결제 피해자들의 과금 내역 중 기지국 아이디를 보고 KT가 유추해 차단을 한 것이다. 아마 수사에서 실체가 확보되면 KT도 확인할 수 있을 것으로 보고 있다."

-불법 기지국이 어떻게 KT 망에 쉽게 연결될 수 있었나?

"첫 번째 인증 과정에 대해서는 이 부분은 KT가 예상하기로는 추정이다. KT가 보통 사용하는 초소형 기지국들이 있는데, 그중 일부를 불법적으로 취득해 개조했거나 어떤 특정 시스템을 만들어 KT가 사용하는 그 초소형 기지국의 일부 부분을 떼서 옮겼거나 하는 그런 추정을 하고 있다.

왜냐하면 KT 망에 연동이 됐다는 것은 기존에 연동이 된 장비였다고 추정되기 때문이다. KT가 수사에 적극 공조하고 있어 실물이 확보가 되면 확실한 그 과정을 알 수 있을 것이라고 보고 있다.

소액결제 관련해서는 지금 경찰 조사와 민간 조사들이 다 진행되고 있다. 예단해서 어떤 과정들을 말씀드리기는 쉽지 않은 상황이고 경찰이 진행되는 결과들을 지금 지켜보고 있다. 소액결제 절차 시 이 부분은 저 같은 경우에 한 번 해봤는데 거기에 이름이나 생년월일 이런 게 입력이 돼야 하는 상황이었다. KT도 이 부분은 파악을 하지는 못했고 이 부분도 아마 경찰 수사가 끝나면 확인할 수 있을 것 같은데 이런 부분들은 지금 소형 불법 기지국에서 유출될 수는 없는 정보다. 이에 대해서도 수사 결과를 통해서 확인할 수 있을 것 같다."

-카카오톡 무단 로그인, 당근마켓 아이디 도용 등 2차 해킹 피해자가 많은데 이에 대해 인지하고 있나?

"피해 사례 중에 KT가 카카오톡이 자고 나서 로그아웃되고 있다는 내용은 인지하고 있지만 구체적으로 원인이 확인된 바 없다."

-해커가 불법 기지국으로 IMSI를 왜 유출했다고 보나?

"불법 초소형 기지국을 통해서 IMSI가 어떻게 빠져나는지와 무관하게, KT가 통제할 수 없는 시스템을 통해 KT 고객 관련 신호들이 전송되면 그것 자체로 고객 정보 보호 위반이라고 이해했다. 그래서 데이터 전송이 이뤄진 것만으로도 신고하게 됐다."

-IMSI 유출까지는 그럴 수 있다는 생각은 드는데 ARS는 어떻게 가능했는지 이해가 되지 않는다?

"KT도 (ARS 우회는) 해석이 되지 않는다. ARS 인증이라는 게 이름, 주민등록번호 등을 입력해야 ARS 인증 문자가 가는 방식이다. 이번 초소형 불법 초소형 기지국 건과는 조금 다른 문제라고 생각하고 있다. 그래서 경찰 수사가 진행돼야 한다고 생각하고 있으며 KT가 적극 협조하고 있다."

-보안 인력 구조조정이 이번 해킹의 시발점이 됐을 가능성은 없나?

"지난해에 KT의 보안 인력이 순수하게 내부 인력이 210여 명 정도다. KT가 지난해에 희망퇴직 프로그램을 가동했고 거기서 보안 인력이 20여 명 정도가 포함된 것으로 알고 있다. 그런데 해당 인력들은 보안 컴플라이언스 담당이다 보니 기술적인 보안 엔지니어가 많이 포함돼 있지 않았다. 해당 인력들의 퇴직으로 이번 사건이 벌어졌다는 게 아니라고 말할 수 있다."