"유심 정보 인증키가 유출되지 않아 복제폰 생성을 통한 피해 발생 가능성도 없는 것으로 분석됐습니다."
KT는 18일 서울 광화문 사옥에서 '소액결제 해킹 추가 피해' 설명을 위한 브리핑을 열고 이같이 밝혔다.
이날 KT는 총 2만여명이 4개의 미등록된 불법 초소형 기지국 신호를 수신한 것으로 파악됐으며, 해당 기지국 ID를 통해 국제이동가입자식별정보(IMSI)와 국제단말기식별번호(IMEI), 휴대폰 번호가 유출된 정황을 확인했다고 발표했다. KT는 그동안 IMSI 유출은 인정했지만 IMEI와 휴대전화 번호 유출 가능성은 부인해왔다. 손정엽 KT 디바이스사업부 상무는 "IMEI를 알더라도 사실 인증 키 값을 모르면 불법 복제폰은 불가능하다"며 "인증 키 값은 우리 시스템 내부에서 안전하게 저장돼 있고 또한 암호화돼 관리되고 있다"고 설명했다.
KT에 따르면 피해 고객 수가 당초 278명에서 362명으로, 누적 피해 금액은 1억7000만원에서 2억4000만원으로 늘었다. KT는 추가 조사를 통해 기존 상품권 소액 결제 피해 이외에도 교통카드 같은 다른 유형의 소액결제 피해 사례를 추가로 확인했고, 기존에 확인된 불법 초소형 기지국 ID 2개 외에도 추가로 2개의 ID를 더 파악했다고 밝혔다.
KT는 관리 사각지대에 놓인 초소형 기지국인 펨토셀 현황에 대해서 언급했다. KT는 지난 11일 발표한 전체 펨토셀 수(15만7000대)를 23만2000대로 수정 발표하면서 지난 3개월간 자사 시스템에 미접속한 펨토셀 수는 4만3000대라고 밝혔다. 구재형 네트워크 기술본부장은 "(소액결제 해킹) 사태 발생 직후 최근 3개월간 한 번도 접속한 적 없는 4만3000대는 연동을 중지한 상태"라면서 "신규 개통을 제한하고 관리 시스템을 고도화해 불법 초소형 기지국은 절대 우리 망에 접속하지 못하게 조치하겠다. 비정상결제 유형도 실시간 모니터를 돌리고 있고 원천 차단 중"이라고 설명했다.
KT는 펨토셀 전수 조사 계획도 밝혔다. 구재형 본부장은 "신호가 안 잡히는 미접속 펨토셀의 경우 관리 사각지대라고 보고 2주 내에 전수 조사를 할 것"이라며 "이런 부분은 이제 다 개별 접촉을 해서 확인을 해야 되는 상황"이라고 했다.
고객들의 피해 구제와 관련해선 KT가 적극 보상하겠다고 약속했다. 김영걸 KT 서비스프로덕트본부장은 "이번 사태로 인해 발생하는 금전적 피해에 대해서는 100% 책임지겠다. 신속하게 피해 고객에 대해 추가 보상 방안을 마련할 것"이라며 "위약금 면제에 대해선 지난 브리핑 때 전향적으로 검토하겠다고 말씀드렸다. 고객 입장에서 신속히 검토해서 말씀드릴 수 있도록 하겠다"라고 했다.
개인정보보호위원회에 따르면 KT가 기존 5561명을 포함해 지금까지 이용자 2만30명의 IMSI, IMEI, 휴대전화 번호의 유출 정황을 확인했다며 18일 2차 개인정보 유출 신고를 했다.