[일문일답] KT "소액결제 2267만건 전수 조사…불법 기지국 ID 4개 발견"
[뉴스웍스=박광하 기자] KT가 18일 개최한 무단 소액결제 해킹 피해 관련 2차 브리핑에서 구재형 네트워크기술본부장이 "소액결제 2267만건을 전수 조사했다"며 "결제 패턴과 기지국 동작 방식을 분석한 결과 불법 초소형 기지국 아이디 4개를 발견했다"고 말했다. 그러면서 "(발견한 4개의 아이디가) VOC(고객 문의) 기반으로 찾은 아이디와 동일함을 확인했다"고 덧붙였다.
1차 브리핑 이후 추가 조사 결과 소액결제 피해 고객은 278명에서 362명으로, 피해 금액은 1억7000만원에서 2억4000만원으로 늘어났다. 불법 초소형 기지국 신호를 수신한 고객 규모는 약 2만명으로 확인됐다.
KT는 5일 비정상 소액결제 패턴을 차단한 이후 추가 피해는 없다고 강조했다. 최근 언론에 보도된 피해 사례는 모두 5일 이전에 발생한 것으로 확인됐다는 것이다.
유출된 개인정보 종류도 확대됐다. 구 본부장은 "민관합동조사단과 분석 범위를 확대한 결과 IMSI 외에 IMEI와 휴대전화번호도 단말이 불법 기지국에 접속 시 전송됐을 가능성을 확인했다"며 "단말 기종이나 사용 환경에 따라 전송 여부가 달라 완벽한 분석이 어려워 불법 무선 초소형 기지국 신호를 수신한 모든 고객을 개인정보 유출 대상으로 관리할 예정"이라고 밝혔다.
KT는 초소형 기지국 관리를 대폭 강화한다. 현재 18만9000대 중 3개월간 사용 이력이 없는 4만3000대는 즉시 접속을 중지시켰으며, 2주 내 아웃바운드콜과 육안 점검을 통해 현행화할 예정이다. 미사용 기지국은 회수하고 망실된 경우 영구 차단 조치를 취하기로 했다.
고객 보호 조치도 확대한다. 피해 고객 362명에 대한 청구 조정을 금요일까지 완료하고, 개인정보 유출 정황이 있는 2만명 전원에게 KT 안전안심보험을 3년간 무료 제공한다. 전국 2000여개 매장을 안전안심 전문매장으로 전환해 악성앱 점검, 보이스피싱 예방 교육, 소액결제 차단 서비스 등을 제공할 예정이다.
다음은 KT와 기자들 간의 질의응답이다.
-362명이 최종 피해자라고 할 수 있나. 추가 피해 가능성은 없나
"VOC 기반으로 불법 기지국 4개를 찾았다. 처음 2개는 많은 고객이 이용해 쉽게 찾을 수 있었는데, 뒤에 찾은 2건은 하루 정도만 작동해 상대적으로 늦게 발견했다. 하지만 소액결제 패턴과 기지국 환경 패턴을 분석해 거꾸로 점검한 결과 발견한 기지국이 4개고, 그 안에서 발생하는 피해 유형에 대해서는 거의 완결적으로 최대한 찾아냈다고 생각한다."
-2차 브리핑 이후에도 추가 정보 유출이 있을 것 같은데
"한번 더 죄송하다는 말씀을 드린다. 저희가 처음 사고를 접했을 때 피해가 더 이상 발생하지 않도록 집중했다. 그 이후 합동조사단과 분석 범위를 조금씩 넓혀가는 과정에 있다. 지난번 브리핑 때는 IMSI가 유출됐다는 것을 확인하고 전체 고객 중에서 정확하게 뽑는 것에 주력했다. 이후 합동조사단과 추가 확대 분석을 통해 이 가능성을 확인했다. 사용자의 폰이나 환경에 따라 완전히 분석이 안 돼 최종적으로 불법 초소형 기지국 신호를 수신한 분 전체를 다 고객 정보 보호 대상자로 결정했다."
- ARS 인증이 뚫렸다는데 복제폰 제작 가능성을 완전히 배제할 수 있나
"불법 복제폰 제작에는 IMSI, IMEI, 인증키 값이 반드시 필요하다. IMSI와 IMEI를 알더라도 인증키 값을 모르면 불법 복제폰을 만드는 건 불가능하다. 인증키 값은 KT 시스템 내부와 (각 고객의) 유심에만 있다. 시스템 내부에서는 안전하게 저장되고 암호화돼 관리되고 있다.
인증키 값을 통해 연산된 결과값이 전송되면서 인증을 하는 구조다. 저장된 인증키 값이 유출되지 않았으므로, (악의적인 공격자가) 가입자식별번호(IMSI)와 단말식별번호(IMEI)를 알더라도 불법 복제폰은 불가능하다.
ARS 인증이 이뤄지려면 이름과 생년월일을 넣어야 하는데 저희도 이 부분은 확실하게 알고 있지 않다. 경찰 조사가 되면 그때 확실히 말씀드리겠다. 현재는 저희도 이 결제가 어떻게 이뤄졌는지 알고 있지 않다."
-불법 초소형 기지국 아이디 발견 과정과 추가 발견 가능성은
"불법 결제 과정 중에서 피해자들이 발생한 호에 특성이 있다. 그 특성을 가지고 따라가다 보니 기지국 아이디가 안 보이는 영역이 있어서 기지국 접속 로그까지 연계해서 보니 피해받은 분들의 아이디가 중복되는 것을 확인했다. 자세한 내용은 수사가 끝나면 설명드릴 수 있을 것 같다. VOC로부터 올라오는 정보와 전수에서 내려오는 과정을 통해 검증한 결과이기 때문에 저희가 할 수 있는 범위 내에서는 검토했고 더 이상 없을 거라고 생각하고 있다."
-3개월간 미사용 펨토셀(초소형 기지국) 4만3000대 중 지난해 2만대만 회수 예상인데 나머지는 회수 불가능한가
"3개월 동안 접속 시도가 하나도 없는 펨토셀을 대상으로 했다. 한번도 3개월 동안 통화 이력이 없는 펨토셀을 우선 차단했고 관리 사각지대라고 본다. 2주 내에 전수 조사를 해서 정상 사용인지 확인해야 한다. 장기 휴가나 이런 경우도 있어서 개별 접촉해서 확인해야 하는 상황이다. 4만3000대는 다 일일이 확인해서 현행화하고 쓰지 않는 펜토는 회수하고, 현장에 없는 부분은 망실이니까 더 이상 망에 접속하지 못하도록 조치를 완벽하게 하겠다."
-내부자 소행 가능성과 인력 보안 관리는
"이 부분은 사내 부정 관련된 사항이고 수사 진행 상황에 따라 그 결과를 보고 말씀드릴 것 같다. 현재는 나온 게 없어서 답변을 다음 번에 나오면 또 한번 답변드리겠다."
-펨토셀 전략 변화는 있나
"저희가 설치하기 어려운 지역에서는 충분히 고객에게 좋은 품질을 제공하고 고객 편의성을 제공한다는 판단 하에 지금까지 설치했고, 장기적인 로드맵에 대해서는 한 번 더 정리해서 설명드리도록 하겠다."
-이번 사건 계기로 1조원 보안 투자 계획에 변화가 있나
"KT가 몇 달 전에 5년간 1조원의 보안 투자를 한다고 기자 브리핑을 한 바 있다. 이 금액 자체가 현재로서도 상당히 큰 규모다. 이번 이슈가 발생해서 올해와 내년에는 투자에 대한 우선순위를 모바일 서비스와 단말 보안 쪽으로 집중적으로 재배치할 생각을 하고 있다. 이런 문제가 인프라의 노후화도 있겠지만 프로세스적인 문제도 있다. 그 부분에 대해서는 보안 거버넌스에 대해서도 강화하는 생각을 가지고 있다."
-유심 보호 서비스 자동 가입 방안은
"유심이 도입됐을 때 CDMA 같은 경우에는 단말이 고장 나면 폰을 바꿔야 했다. WCDMA가 되면서 유심으로 핸드폰을 이동해서 쓸 수 있게 됐다. 이런 유심 이동이라는 게 굉장히 편리한 제도다. 집에 있는 중고폰을 가져다 쓸 수도 있다. 유심 보호 서비스는 유심 이동을 인위적으로 막는 것이다. 보호라는 측면도 있지만 고객 입장에서 원하지 않는 고객도 많다. 유심 보호 서비스를 강제화하는 건 하지 않으면 안 되는 급박한 상황에서 고객이 원하는 경우에 하는 게 맞다고 생각한다."
-KT 안전안심보험의 구체적 보장 범위와 재무 부담 규모는
"안전안심보험은 매장에서 운영했던 피싱 프로모션과는 다르다. 이번에 현대해상, DB손보와 계속 전략적 제휴 관계가 있기 때문에 긴급하게 협의해 진행하는 상품이다. 보장 내용은 휴대전화를 통한 금융 피해에 대해 상당 부분 보호하고 안심하실 수 있는 수준으로 얘기하고 있다. 결정되면 알려드리겠다."
-IMEI와 전화번호 유출로 인한 추가 피해 가능성은
"IMSI와 IMEI가 유출되면서 복제폰에 대한 우려가 많이 있을 것 같다. 하지만 인증키 값이 안전하게 보호되고 있기 때문에 그 부분에 대해서는 우려가 없다."
-민관합동조사단 서버 전수 조사 진행 상황은
"지난주부터 합동조사단과 같이 진행 중이며, 아직 완료가 된 게 아니다. 완료된 항목은 아직까지 없는 상태다. 요청 자료에 대해 열심히 제출하고 있고 관련 현황도 다 제출했는데, 점검 계획이나 이런 부분에 대해서는 아직 협의 중인 것으로 안다. 그런 부분은 계획이 나오면 다시 말씀드리겠다."
-펨토셀에서 통화나 문자 등 추가 개인정보 유출 가능성은
"IMSI, IMEI, 휴대전화번호 등 세 가지만 유출된 걸로 보고 있다. 추가 개인정보 유출 가능성에 대해서는 지금 경찰 수사가 진행 중이라 그 결과를 봐야 될 것 같다. 현재 그 부분은 확인된 게 없다."