KT가 최근 발생한 소액결제 사고와 관련해 고객 개인정보 유출 정황을 처음으로 공식 인정했다. 그러나 주민등록번호 등 민감정보가 필요한 소액결제 피해가 어떤 경로를 거쳐 발생했는지는 여전히 규명하지 못하고 있다.

지난 11일 KT는 기자간담회에서 불법 초소형 기지국을 통해 단말이 송신한 국제이동가입자식별정보(IMSI) 신호가 외부로 전달된 사실을 확인했다고 밝혔다. 해당 기지국 신호를 수신한 고객은 약 1만9000명으로 집계됐으며, 이 중 유출 정황이 확인된 고객은 5561명이다.

문제는 유출 정황이 확인된 IMSI 고객 명단과 실제 소액결제 피해자 명단이 일치하지 않는다는 점이다. KT에 따르면 지금까지 특정된 소액결제 피해는 278건, 피해 규모는 약 1억7000만원에 달한다. 그러나 해당 피해자 일부는 IMSI가 유출된 고객 명단과 일치하지 않는 것으로 나타났다.

KT 관계자는 "소액결제에는 주민등록번호 등 추가적인 민감 개인정보가 필요하다"면서도 "소액결제가 어떤 방식으로 이뤄졌는지는 경찰 수사를 통해 확인될 것으로 보인다"라고 말했다. 불법 초소형 기지국을 통해 IMSI가 유출될 수 있는 취약점은 드러났지만, 이번 소액결제 피해의 직접적인 원인으로 연결되지는 않는다는 설명이다.

불법 초소형 기지국의 존재 정황은 확인됐지만, 실체와 경위는 여전히 불투명한 상태다. KT는 "기존 망에 연동됐던 장비를 개조하거나 도용했을 가능성이 있다"고 설명하면서도 "실체는 아직 확보하지 못했다"고 말했다.

이어 "복제폰이나 HSS(가입자 서버) 해킹 정황은 없다"고 강조했으나, 피해 과정에서 제기된 카카오톡 자동 로그아웃 현상이나 ARS 인증 절차와의 연관성에 대해서는 명확한 설명을 내놓지 못했다. 이 때문에 KT의 설명과 달리, 소액결제 피해 과정에서 다른 인증값이나 민감 개인정보가 함께 노출됐을 가능성을 배제할 수 없다는 지적도 나온다.

이날 기자간담회에서는 KT의 초기 대응 지연도 도마에 올랐다. KT는 지난 1일 경찰로부터 관련 통보를 받았지만, 당시에는 스미싱 가능성에 무게를 두고 고객 안내나 즉각 조치를 하지 않았다. 이후 관련 보도가 이어지자 나흘 뒤인 5일 새벽에서야 비정상 결제 패턴을 확인하고 긴급 차단했다.