KT 소액결제 피해 축소 의혹
서버 침해흔적·의심정황 늑장 신고, 팸토셀 수도 말 바꾸기
피해자 362명·피해금액 2.4억…1차 발표 때보다 더 늘어
"인증키 암호화 복제폰 불가능" 밝혔지만 소비자 불안 가중
'KT 소액결제 피해' 사례가 증가하는 가운데 KT의 '오락가락 해명'으로 혼란이 가중된다. 지난 1일 경찰이 KT에 사건을 알리고 3주가 지났지만 범행수법 역시 오리무중이다.
21일 KT(58,500원 ▲3,600 +6.56%)에 따르면 지난 8월5일부터 한 달간 서울 관악·금천·동작·서초·영등포구, 경기 고양·광명·부천시, 인천 부평구에서 총 764건의 피해가 발생했다. 피해자는 362명, 피해금액은 2억4000만원이다. 지난 11일 1차 발표 때보다 피해자는 84명, 피해금액은 7000만원 늘었다. 정치권에서는 KT가 고의로 사태를 은폐·축소하고 있다고 비판한다.
KT는 지난 10일 "유심(가입자식별모듈) 정보유출은 전혀 없는 상황"이라고 밝혔다가 하루 뒤 IMSI(국제이동가입자식별정보) 유출을 알렸고 1주일 뒤엔 IMEI(국제단말기식별번호), 휴대폰번호까지 빠져나간 정황이 확인됐다고 인정했다. 또 자체보유한 펨토셀(초소형기지국)은 15만7000대라고 했다가 1주일 만에 18만9000대로 정정했다.
앞서 "서버침해가 없다"고 밝혔다가 지난 15일 외부 보안전문업체의 조사결과 서버 침해흔적 4건과 의심정황 2건이 발견되자 18일 자정 직전에 한국인터넷진흥원(KISA)에 해킹신고를 한 것도 비판받는다.
KT는 주요 범행수법이 ARS(자동응답전화) 인증을 통한 상품권 구매라고 판단, 불법 펨토셀이 통신망에 처음 접속한 지난 6월부터 3개월간 ARS 인증을 거친 소액결제 건수 2267만건만 분석했다.
그러나 최근 3개월만 조사한 것은 '소극 대처'라는 비판이 이어진다. 류제명 과학기술정보통신부 2차관도 "불법 ID가 최초로 발견된 게 6월26일인데 이전에 (해커의) '몸풀기'가 있었을 수 있다"며 "로그기록을 확인하기 어려운 측면도 있어 추가 피해가 없다고 단정적으로 말씀드리기 어렵다"고 말했다.
또 패스(PASS)앱 인증이 뚫리거나 교통카드 충전이 이뤄지는 등 다양한 피해증언이 나오는 만큼 모든 소액결제를 대상으로 조사해야 한다는 목소리도 크다. 이 경우 엄청난 규모의 소액결제 건수를 분석해야 해 조사에 상당한 시일이 걸린다.
어떻게 소액결제가 이뤄졌는지도 미궁에 빠졌다. 소액결제를 하려면 이름, 생년월일 등 추가정보가 필요하다. SK텔레콤처럼 대규모 개인정보 유출이 있었던 것 아니냐는 의혹이 나오는 이유다. 김용대 카이스트 전기전자공학부 교수는 "펨토셀로 가로챈 문자패킷 속 전화번호와 이미 유출된 개인정보를 매칭해 소액결제를 했을 가능성이 있다"고 했다. 과기정통부는 소액결제 피해사고와 서버해킹간 사실관계를 파악할 예정이다.
독자들의 PICK!
KT는 "인증키가 유출되지 않아 복제폰 제작은 불가능하다"며 "인증키는 암호화돼 시스템 내부에 안전하게 저장돼 있다"고 강조했다.
