KT 불법 초소형 기지국(펨토셀)에 접속돼 개인정보 유출이 의심되는 이용자 피해가 당초 밝힌 올해 6월이 아닌 지난해 10월부터였던 것으로 확인됐다. 범행시도도 수도권을 넘어 강원도까지 전방위적으로 이뤄진 것으로 나타났다. KT의 뒤늦은 사태 파악과 조사 발표로 부실 관리 대응에 대한 논란은 커질 모습이다.
서창석 KT 네트워크부문장은 17일 서울 종로구 KT 광화문빌딩 웨스트 사옥에서 소액결제 피해 관련 브리핑을 열고 "불법 펨토셀 수가 당초 알려진 4개에서 추가로 16개가 더 파악돼 총 20개로 확인됐다"며 이같이 밝혔다. 그는 "추가로 발견된 펨토셀은 서울 동작구와 금천구, 경기 광명시와 안양시, 또 강원 지역에서도 결제 피해는 없지만 불법 펨토셀에 접속된 이력은 나타났다"고 덧붙였다.
이날 KT는 펨토셀 16개가 추가로 파악되면서 당초보다 피해 고객은 6명이 추가된 368명으로, 피해금액은 319만원 늘어난 2억4319만원으로 늘었다고 발표했다.
앞서 KT는 지난 9월 11일 1차 브리핑에서는 불법 초소형 기지국 2개가 발견됐고 피해자는 278명이라고 했다. 이후 같은 달 18일 2차 브리핑에서는 불법 초소형 기지국 2개가 더 발견돼 총 4개, 피해자는 362명이라고 했다. 이번 발표에서 불법기지국 수, 피해자, 피해금액, 접속자가 모두 늘어난 것이다.
특히 KT는 사태 초반에는 고객정보 유출이 없었다고 했지만, 1차 브리핑서 5561명의 가입자식별정보(IMSI)가 유출된 것을 인정했다. 이후 2차 브리핑에서는 IMSI 유출 고객 수를 2만30명으로 정정한 데 이어 이날은 2197명 늘어 총 2만2227명으로 집계됐다고 덧붙였다.
추가로 발견된 펨토셀 16개중에서는 1개가 범행에 사용됐다. 추가 피해 고객은 동작에서 1명, 금천에서 2명, 광명에서 1명, 안양에서 2명이다.
KT는 당초 올해 6월부터 9월10일까지 약 3개월을 대상으로 자동응답시스템(ARS) 방식으로 불법 결제인증이 시도된 활동에 대한 조사를 진행했다. 하지만, 이번 브리핑에 앞서 조사 기간을 2024년 8월 1일부터 2025년 9월 10일까지 약 13개월간으로 넓히고 조사 결제인증 방식도 ARS 외 문자메시지(SMS)와 패스(PASS)로 늘리자 피해 상황이 확대된 것이다.
해커가 실제 소액결제를 실행하기 위해 필요한 이름, 주민등록번호, 성별 등의 개인정보 유출경로는 여전히 밝혀지지 않았다. 현재 불법 펨토셀을 통해서는 개인식별번호(ISMI)와 국제단말기식별번호(IMEI), 전화번호 등 유심(USIM) 정보 유출 정황만 확인된 상태다. 이와 관련해 KT는 "(개인정보는) 불법 기지국에서 확보할 수 없는 정보가 맞다"며 "(민관합동조사단에서) 1차 포렌식이 완료됐고 2차 포렌식을 진행한다고 들었는데, 해당 결과가 나와야 확인이 가능할 것 같다"고 했다.
추가 피해 발견을 배제할 수는 없는 상황이다. 이날 KT는 추가 피해가 없다고 할 수 있느냐에 대해서는 "조직이 할 수 있는 범위 안에서 분석을 총망라했다고 봐주면 좋겠다"며 "피해자를 한명이라도 더 찾기 위해 오늘 새벽까지도 노력을 기울였다"고 했다. 위약금 면제 조치에 대해서는 "합동조사단 결과와 고객 피해상황을 고려해 검토해 진행해 나갈것"이라고 했다.
KT의 이날 발표는 전날 국회 과학기술정보방송통신위원회 소속 의원들이 확인한 내용과 같아 뒤늦은 발표라는 논란도 있다. KT 측은 "의원실 보도자료에 대해서는 확인이 어려운 점 양해 부탁한다"고 했다.