구재형 KT 네트워크부문 네트워크기술본부장이 18일 서울 종로구 KT광화문빌딩에서 열린 KT 소액결제 피해 관련 대응 현황 발표 기자회견에서 허리 숙여 사과하고 있다.

KT가 무단 소액결제 사태로 2만명의 가입자 주요 정보를 탈취당한 것으로 드러났다. 앞서 알려진 5561명의 네 배에 이른다. 소액결제 누적 피해 규모도 2억4000만원으로 더 늘었다.

KT는 18일 기자회견을 열어 “소액결제 피해 관련 1차 발표 이후 추가로 침해 정황을 확인하고 고객 보호 조치를 이행했다”면서 이같이 밝혔다.

KT의 무단 소액결제 사태는 8월 중순부터 이달 초순까지 경기 광명·서울 금천 등에서 다수 피해 사실이 알려지며 불거졌다. KT는 지난 11일 첫 회견을 열어 피해 사실을 확인하고 보상 및 재발 방지를 약속했다. 이어 6월 이후 ARS 인증을 거친 소액결제를 전수 조사해왔다.

KT가 이날 공개한 조사 결과에 따르면, 지난 6월 이후 가입자 2만명이 4개 아이디(ID)의 불법 초소형 기지국 신호를 수신한 것으로 나타났다. KT는 이들 2만명의 가입자식별정보(IMSI), 단말기식별번호(IMEI), 휴대폰 번호가 유출된 것으로 보고 있다.

유출 규모가 애초 알려진 것보다 훨씬 크다. KT는 첫 회견에선 “5561명의 가입자식별정보(IMSI)가 유출됐다”고 밝힌 바 있다. 유출피해를 입은 고객은 네 배 늘었고, 유출 정보에 단말기식별번호(IMEI), 휴대폰 번호가 추가됐다. 불법 초소형 기지국의 ID도 당초 2개에서 4개로 늘었다.

구재형 네트워크 기술본부장은 “각 고객의 유출 정보가 단말기종이나 환경에 따라 다른데 완벽하게 한분씩 분석이 안돼서 2만명에 대해서는 세 정보가 모두 유출됐다고 보고 있다”고 밝혔다.

복제폰 제작 등 2차 피해 우려가 더 높아졌다. 복제폰은 가입자식별정보(IMSI), 단말기식별번호(IMEI), 유심 인증키가 있으면 만들 수 있다. 이와 관련해 손정엽 디바이스사업본부장은 “IMSI, IMEI를 알더라도 유심 인증키를 모르면 복제폰은 불가능하다”면서 “유심 인증키는 암호화되어 관리되고 있다”고 설명했다.

전수조사 결과 소액결제 피해 규모도 더 큰 것으로 나타났다. KT는 “피해 고객 수는 362명, 피해 금액은 2억4000만원으로 집계됐다”고 밝혔다. KT가 일주일 전 밝힌 것보다 고객 수 84명, 피해 금액은 7000만원 더 늘었다. 기존의 ‘상품권 소액결제’ 외에 교통카드 등의 다른 유형의 소액결제도 추가로 확인됐다.

다만 KT는 “9월 5일 비정상적인 소액결제 시도를 차단한 이후 새로운 피해는 발생하지 않았다”면서 “이번에 추가로 확인한 피해 역시 그 이전에 발생한 것”이라고 설명했다.

KT는 이날 추가 피해 정황에 대해 “개인정보보호위원회에 보완신고를 마쳤다”고 밝혔다. 정보 유출 피해를 입은 2만명에게는 USIM 교체 신청 및 보호서비스 가입 링크 등을 문자로 개별 안내하고 있다.

KT는 “큰 불편과 우려를 끼친 점에 대해 거듭 사과드린다”면서 “피해 정황이 추가로 확인된 고객에게도 소액결제 금액을 고객이 부담하지 않도록 조치하겠다”고 밝혔다.