"개인 정보 유출에 금전 피해까지" KT, SKT 이상의 '철퇴' 맞을까

KT, 불법 펨토셀로 인한 5,000여 명 개인 정보 유출 시인
특정 지역 중심으로 무단 소액결제 피해도 발생해
개인정보위원회, 금전 피해 없었던 SKT에도 대규모 과징금 부과

KT가 고객 개인정보 유출 사실을 처음으로 시인했다. 롱텀에볼루션(LTE) 기반 초소형 기지국(펨토셀) 장비의 외부 유출로 인해 2만 명에 가까운 고객이 불법 신호를 수신했고, 이 중 5,000명 이상의 개인정보가 유출됐을 가능성이 있다는 설명이다. 시장에서는 얼마 전 대규모 해킹 사태가 발생한 SKT가 대규모 과징금을 부과받은 상황인 만큼, KT 역시 개인정보위원회의 '철퇴'를 피해 가기는 어려울 것이라는 분석에 힘이 실린다.

KT 개인정보 유출 사태의 전말

지난 11일 KT는 서울 종로구 광화문 사옥에서 기자간담회를 열고 “불법 초소형 기지국의 비정상 접속으로 일부 고객의 가입자식별번호(IMSI)가 유출됐을 가능성이 있다”고 밝혔다. IMSI는 휴대전화 단말이 네트워크에 접속할 때 제시하는 고유 번호로, 주민등록번호처럼 단말기마다 고유하게 부여돼 유심에 저장된다. KT 자체 조사 결과, 이번에 불법 기지국 신호를 수신한 가입자는 총 1만9,000명에 달했다. 이 가운데 5,561명은 IMSI가 외부로 유출됐을 가능성이 큰 것으로 파악됐다. KT는 이날 오후 개인정보보호위원회에 관련 사실을 신고했다.

이번 사건에 사용된 장비는 KT가 과거 신호 보강용으로 사용했던 LTE 기반 펨토셀로 추정된다. 펨토셀은 건물 내부나 음영 지역에서 전파를 보강하기 위해 설치하는 초소형 기지국이다. 정상적으로는 이동통신사가 사전 등록한 뒤 망에 연결해야 하지만, 일부 장비가 외부로 유출돼 불법 개조된 채 사용된 것으로 보인다. 단말기가 이 같은 불법 장비가 보내는 신호를 받아 접속하면 네트워크 인증 과정에서 IMSI를 일시적으로 내보낼 수 있다. LTE는 5세대(5G) 이동통신과 달리 초기 접속이나 비정상 상황에서 IMSI가 평문으로 송출되는 구조적 한계가 존재하기 때문이다. KT는 LTE 구간에서 불법 초소형 기지국 2개 셀 ID를 특정했으며, 관리 시스템에 없는 ID로 확인됐다고 밝혔다.

"99만원 청구돼" 소액결제 피해 속출

문제는 이번 개인정보 유출 사태로 인해 곳곳에서 금전적 피해가 발생했다는 점이다. 이번 사건은 지난달 21일 경기도 과천시 별양동에서 8명이 총 410만원의 무단 소액결제 피해를 신고한 데서 출발했다. 이어 지난달 26일 서울 금천구에서 총 45건(총 2,850만원)의 소액결제 피해가 새벽 시간대에 무더기로 신고됐다. 지난달 27~28일에는 광명시 소하동과 하안동에서 73건(총 4,730만원), 이달 1~2일에는 부천시 소사구에서 6건(총 480만원)의 금전 피해가 있었다.

지난 10일에는 서울 관악구에서 피해 신고가 접수되기도 했다. 서울 관악구에 거주하는 KT 가입자 A씨는 이달 6일 콘텐츠 이용료가 결제됐다는 휴대전화 문자메시지를 15건 연속으로 받았다. 청구된 금액은 99만원 상당으로 파악됐다. A씨는 1년 전쯤 경기 광명시에서 휴대전화를 개통했고, 출퇴근길 광명과 서울 금천구를 지난 것으로 전해졌다. 특정 지역에서 거주하거나, 해당 지역을 방문한 사용자들 위주로 피해가 발생한 셈이다.

피해 사례가 누적되며 시장 불안감이 가중되자, KT는 소액결제 피해를 입은 고객에게 결제 금액을 청구하지 않겠다고 약속했다. 김영걸 KT 서비스프로덕트 본부장은 “금전 피해 100% 보상을 약속한다”며 “피해 고객에게 직접 연락해 상황 설명과 케어를 진행 중”이라고 밝혔다. 이에 더해 불법 초소형 기지국의 신호를 수신한 이력이 있는 가입자 1만9,000명의 유심 교체를 지원하고, 이번 사태로 통신사 이동을 고려하는 고객에게 위약금을 면제하는 방안도 검토하겠다고 덧붙였다.

개인정보위, SKT 때는 어떻게 대처했나

시장에서는 KT가 사후 대처에 힘을 실어도 개인정보위의 엄중한 처벌을 피해 가기는 어려울 것이라는 지적이 나온다. 최근 대규모 해킹 사태를 겪었던 SKT가 '철퇴'를 맞은 전례가 존재하기 때문이다. 개인정보위는 지난 4월 22일 SK텔레콤의 개인정보 유출 신고를 접수해 조사에 착수했다. 조사 결과, LTE·5G 서비스 전체 이용자 2,324만4,649명의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki) 등 25종의 정보가 유출된 사실이 확인됐다. 유출 규모는 총 2,696만 건에 달했다.

해커는 2021년 8월 SK텔레콤 내부망에 최초 침투해 다수 서버에 악성 프로그램을 심었고, 2022년 6월에는 통합고객인증시스템(ICAS)에 추가 거점을 확보했다. 이후 올 4월 18일 홈가입자서버(HSS) DB에 저장된 9.82GB 규모의 개인정보를 외부로 유출했다. 개인정보위는 SK텔레콤의 기본적인 보안 조치 미비와 관리 소홀로 인해 사고가 발생했다고 판단했다. 특히 인터넷·관리·코어·사내망을 동일한 네트워크로 연결해 운영하면서 국내·외 인터넷망에서 내부 관리망 서버로의 접근을 제한 없이 허용했다는 점을 문제 삼았다.

SK텔레콤이 침입 탐지 시스템의 이상 행위 로그를 확인하지 않는 등 불법적인 유출 시도에 대한 탐지·대응 조치를 소홀히 했다는 지적도 나왔다. 실제 SK텔레콤은 2022년 2월 해커가 HSS 서버에 접속한 사실을 확인했음에도 비정상 통신, 추가 악성 프로그램 설치 여부 등을 점검하지 않은 것으로 확인됐다. 이 밖에도 △계정 정보가 저장된 파일을 관리망 서버에 제한 없이 저장·관리한 점 △HSS에서 비밀번호 입력 등 인증 절차 없이도 개인정보를 조회할 수 있도록 한 점 △2016년 10월 BPF도어 보안 경보 발령 후 보안 패치가 공개됐음에도 유출 당시까지도 보안 업데이트를 실시하지 않은 점 △유심 인증키 2,614만 건을 암호화하지 않고 평문으로 저장한 점 등이 문제로 꼽혔다.

개인정보위는 SKT 개인 정보 유출 사태가 과징금 산정 판단 기준 중 최고 수준인 ‘매우 중대한 위반’에 해당한다고 판단, 안전 조치 의무 위반 및 유출 통지 위반으로 SKT에 과징금 1,347억9,100만원, 과태료 960만원을 부과했다. 최근에는 SKT를 겨냥해 개인 정보 유출 사고를 반복적으로 낸 기업에 징벌적 과징금을 매길 수 있도록 하는 ‘개인정보 안전관리 체계 강화 방안’을 발표하기도 했다.