피해 고객 수는 기존 278명에서 362명으로 늘어났고 누적 피해 금액은 2억4000만 원으로 집계됐다. 불법 초소형 기지국(펨토셀) ID 2개가 추가로 확인돼 총 4개가 적발됐다. 해당 기지국을 통해 국제이동가입자식별정보(IMSI), 국제단말기식별번호(IMEI), 휴대폰 번호 등이 유출된 정황이 확인됐다.
KT는 기존 상품권 결제 피해 외에 교통카드 등 다른 유형의 소액결제 피해 사례도 추가로 확인했다.
KT는 핵심 인증키는 유출되지 않았다고 강조했다.
구재형 KT 네트워크기술본부장은 “지난 5일 비정상적인 소액결제 시도를 차단한 이후 새로운 피해는 발생하지 않았다. 인증키도 유출되지 않아 복제폰 생산 가능성은 없다”고 밝혔다. 이어 “망 운영의 미흡함으로 고객께 불편을 끼친 점에 대해 사과드린다”고 말했다.
KT는 추가 확인된 정황을 개인정보보호위원회에 보완 신고했다. 피해 고객에게는 피해 사실 조회 기능, USIM 교체 신청 및 유심 보호 서비스 가입 링크 등을 KT닷컴·마이케이티 앱·문자메시지(SMS)로 개별 안내하고 있다.
피해 고객에 대해서는 소액결제 금액을 부담하지 않도록 조치하고, 무료 유심 교체 및 유심 보호 서비스 가입을 지원한다.
김영걸 KT 서비스프로덕트본부장은 “피해 고객에게 추가 보상 방안을 신속히 마련하겠다”며 “피해 고객 362명 중 1차로 확인된 278명에 대해서는 청구 조정을 완료했고, 알뜰폰 고객도 동일하게 케어하겠다”고 밝혔다.
KT는 이번 사건의 핵심 원인을 불법 초소형 기지국을 이용한 물리적 중간자 공격으로 규정했다. 특히 KT의 SMS 구현 방식은 SK텔레콤과 달리 종단 암호화가 적용되지 않아, 해킹된 펨토셀에서 암호화되지 않은 평문을 가로채 소액결제용 OTP 탈취가 발생한 것으로 분석했다. KT는 펨토셀을 통한 망 커버리지 전략 변화 여부 등 장기 로드맵은 별도 설명하겠다고 전했다.
손정엽 KT 디바이스사업본부장은 “인증키 값을 모르면 불법 복제폰은 불가능하며, 인증키 값은 시스템 내부에 암호화되어 관리되고 있다”며 “인증키는 오직 유심과 서버에만 존재하므로 IMEI만으로 불법 복제폰 제작은 불가능하다”고 덧붙였다.
[소비자가만드는신문=이범희기자]
