KT 무단 소액결제 1억7천만원… 개인정보위, KT·LGU+ 조사 착수

개인정보위, 10일 KT·LG유플러스 정보 유출 의혹 조사
해킹, 무단 소액결제 연관성 낮아… 각각 사건 개별 조사
KT 무단 소액결제 피해 278건, 1억7천여만원으로 집계

10일 경기남부경찰청 사이버수사대에 따르면 지난달 27일부터 이달 9일 오후 6시까지 KT 소액결제 피해 사례는 모두 124건이며, 전체 피해액은 8천60여만원으로 파악됐다. 해커가 초소형 기지국을 통해 이용자들의 정상 트래픽을 가로채 소액결제 피해를 일으켰다는 추정이 유력한 상황으로, 불법 기지국을 차량 등에 싣고 이동하면서 범행했을 가능성도 있어 피해 범위와 정도는 더 커질 수 있다. 사진은 10일 서울 한 KT 대리점 모습. 연합뉴스

개인정보보호위원회가 이용자 정보 유출 의혹을 받는 KT와 LG유플러스에 대한 조사에 착수했다.

개인정보위는 10일 보도자료를 내고 "최근 KT 이용자를 대상으로 한 무단 소액결제 사건이 다수 발생해 개인정보 유출 의혹이 제기되고 있다"며 "미국 보안 전문지(Phrack)를 통해 KT 및 LGU+에 대한 해킹 정황이 공개된 바 있다"고 설명했다.

개인정보위는 두 통신사의 고객정보 유출 의혹을 인지한 뒤 자료 요구와 면담, 유관기관 등과 정보 공유 등을 통해 사실관계를 확인해 왔다. 개인정보위는 "구체적인 사건 경위 및 개인정보 유출 여부 등을 집중적으로 확인할 예정"이라고 밝혔다.

지난달 미국의 보안 전문지 '프랙'은 KT·LG유플러스를 사이버 공격한 집단을 재해킹한 화이트해커를 인용해 KT의 인증서(SSL 키), LG유플러스의 내부 서버 관리용 계정 권한 관리 시스템(APPM) 소스 코드 등의 유출이 의심된다고 알린 바 있다.

과기정통부는 프랙이 지적한 해킹 건과 KT 무단 소액결제 건과의 연관성이 낮다고 보고 각각의 사건을 개별 조사 중이다. KT가 자체 집계한 결과 KT 이용자의 무단 소액결제 피해 건수는 이날 현재 278건, 피해 금액은 1억7천여만원에 이르는 것으로 파악됐다.

민관 합동 조사단을 꾸린 과학기술정보통신부는 이날 정부서울청사에서 현안 브리핑을 열고 이 같이 밝혔다. 조사 과정에서 KT 시스템에 등록되지 않은 불법 초소형 기지국 '펨토셀'이 KT 통신망에 접속한 사실도 확인됐다.

류제명 과기정통부 2차관은 "만일의 사태를 대비해 통신 3사 모두 신규 초소형 기지국의 통신망 접속을 전면 제한하고 있다"고 했다. 이어 "미등록 기지국이 어떻게 통신망에 접속했는지, 어떤 방식으로 무단 소액결제가 이뤄졌는지, 어떤 정보를 탈취했는지 면밀히 조사할 것"이라며 "불법 기지국 외 다른 침해 사고 원인에 대해서도 심도 있게 조사하겠다"고 말했다.

KT는 고객 보호 조치를 강화하기로 했다. KT는 지난 6일 사건을 인지한 뒤 홈페이지 공지를 통해 세 가지 고객 보호 조치를 시행한다고 밝혔다. 우선 휴대전화 결제대행사(PG사)와 협의해 상품권 판매업종의 결제 한도를 10만원으로 일시적으로 축소했다. 추가 결제 피해를 막기 위해 비정상 패턴 탐지도 강화했다.

아울러 피해 지역에서 해당 기간 소액결제를 이용한 고객 가운데 이상 거래가 감지되면 개별 연락을 통해 상담·지원을 제공하기로 했다. 지난 8일에는 고객이 의심 사례를 KT에 신고할 경우 피해 금액이 청구되지 않도록 차단하는 조치도 시행했다. 경찰에 신고하고 KT가 이를 확인한 고객의 청구서에서는 해당 금액을 제외한다는 설명이다.

가입 해지를 원하는 고객에 대한 위약금 면제 등 추가적인 조치는 현재로서는 검토하지 않고 있는 것으로 전해졌다. KT 관계자는 "조사가 일정 부분 진행된 후 피해 고객에 대한 배상도 검토가 가능할 것"이라고 했다.

류제명 과학기술정보통신부 제2차관이 10일 서울 종로구 정부서울청사에서 KT 무단 소액결제 침해사고 관련 브리핑을 하고 있다. 연합뉴스