서창석 KT 네트워크 부문 부사장이 17일 서울 종로구 KT광화문빌딩 웨스트에서 소액결제 및 개인정보 유출 피해 관련 전수 조사 결과를 발표하기 앞서 피해 고객들에게 사과하고 있다. 연합뉴스

KT가 관리하지 않는 불법 초소형 기지국의 무단 접속이 지난해 10월부터 시작된 것으로 드러났다. KT 통신망 및 이용자 단말기에 접속한 불법 기지국(펨토셀) 수는 당초 알려진 4개가 아닌 20개였으며, 무단 소액결제 피해자도 6명이 추가로 확인됐다.

KT는 17일 서울 종로구 광화문 사옥에서 기자회견을 열고 무단 소액결제 및 해킹 사태에 대한 전수조사 결과를 이같이 밝혔다.

KT에 따르면 지난해 8월 1일부터 올해 9월 10일까지 약 13개월간의 자료를 분석한 결과, KT 통신망에 접속한 불법 펨토셀 ID는 16개가 추가로 확인돼 총 20개였다. 불법 장비를 통해 가입자식별번호(IMSI), 단말기식별번호(IMEI), 전화번호 등이 유출됐을 가능성이 있는 이용자 규모도 기존 2만명에서 2만2000명으로 늘었다.

펨토셀은 가정이나 사무실 등 통신 음영 지역의 품질을 개선하기 위해 사용하는 초소형·저전력 이동통신 기지국이다. 이번 무단 소액결제 사태는 용의자들이 불법 펨토셀을 통해 이용자 통신 신호를 가로채고, 이를 이용해 소액결제 인증을 통과한 것으로 추정된다.

불법 펨토셀이 KT 가입자의 휴대전화와 접속하기 시작한 시점은 지난해 10월 8일로, 총 접속 기간은 305일이었다. 접속 지역도 기존 서울·경기 외에 강원까지 확산된 것으로 나타났다.

KT는 소액결제 피해 고객도 6명이 추가로 확인됐다고 밝혔다. 그중 4명은 기존 불법 기지국 ID를 통해, 2명은 새로 발견된 ID를 통해 피해를 입은 것으로 조사됐다. 추가 피해액은 319만원이었다.

이번 조사에서는 그간 드러나지 않았던 문자(SMS) 인증 피해도 63건 추가로 파악됐다. 다만 본인확인 앱(PASS)이나 통신요금 합산 결제(DCB)에서는 이상 결제가 확인되지 않았다.이로써 전체 피해 고객은 368명, 피해 건수는 777건, 피해액은 약 2억4000만원으로 집계됐다.

KT는 이번 전수조사 과정에서 지난해 8월부터 지난달 10일까지의 통신과금대행 결제내역 1억5000만건을 전수조사하고, 전체 휴대폰과 기지국 간 4조300억건의 접속 기록을 분석했다고 설명했다.

KT는 무단 소액결제가 처음 발생한 시점은 기존 확인과 동일하게 지난해 8월 5일이며, 지난달 5일 소액결제 시도를 차단한 이후 새로운 피해는 발생하지 않았다고 밝혔다.

KT는 이번 조사 결과를 개인정보보호위원회 등 관계기관에 보완 신고하고, 추가 피해 고객 보호 조치를 이행 중이라고 덧붙였다. 위약금 면제 여부와 관련해 김영걸 KT 서비스프로덕트본부장은 “민관합동조사단 결과와 고객 피해 상황을 종합적으로 고려해 검토할 계획”이라고 말했다.

이날 KT는 해킹 의심 서버 폐기 등 ‘증거은닉’ 논란도 해명했다. 과학기술정보통신부는 지난 2일 KT가 해킹이 의심되는 서버를 폐기하고, 폐기 시점과 백업 로그 존재를 장기간 보고하지 않았거나 허위 보고했다며 경찰에 수사를 의뢰한 바 있다. KT는 이와 관련해 “의도적 폐기는 전혀 없었다”며 “수사에 성실히 임하겠다”고 밝혔다.