민관합동조사단 분석 후 고객 정보 보호 대상 확대
위약금 면제 등 고객 보호 조치 신속 검토 방침
(서울=연합뉴스) 오지은 기자 = 불법 소액결제 사태로 인해 이용자 2만명의 단말기 식별번호(IMEI), 등 개인정보가 유출된 정황이 확인되면서 불법 복제폰에 대한 우려가 커지고 있다.
KT는 불법 복제폰 생성에 필요한 인증키값이 서버와 유심에 저장돼있다며 이러한 가능성을 일축했다.
KT는 18일 광화문 사옥에서 브리핑을 열고 이같이 밝혔다.
다음은 구재형 KT 네트워크기술본부장, 김영걸 KT 서비스프로덕트 본부장 등 KT 관계자와의 일문일답.
-- 개인정보 유출 정황 규모는.
▲ (구 본부장) 1차 브리핑에서 말씀드린 5천561명은 이번에 말씀드린 2만명에 포함됐다. 단말 기종이나 사용환경에 따라 구체적인 (유출 정황이) 다르지만, 단말기 식별번호(IMEI), 국제모바일가입자식별번호(IMSI), 휴대전화 번호 등 3가지 정보를 개인정보 유출 정황으로 신고할 예정이다.
-- 소액결제 피해자 규모가 늘어난 경위는.
▲ (김 본부장) VOC(고객 문의) 기반으로 (불법 기지국 ID) 4개를 찾았다. 2개는 많은 고객이 이용해서 쉽게 찾았는데 2개는 하루 정도만 켜져 있었다. 여기에 소액결제 패턴이나 기지국 환경 패턴을 분석해서 4개를 찾았다. 여기서 발생한 피해 유형을 완결적으로 찾아냈다.
▲ (구 본부장) 처음에 사고를 접했을 때 피해가 더 이상 발생하지 않는 데 집중했다. 이후 민관합동조사단과 추가 확대 분석을 거쳐 (IMEI 유출) 가능성을 확인했다. 최종적으로 불법 무선기지국의 신호를 수신한 분 전체를 고객정보 보호 대상자로 결정하게 됐다. 분석을 번복해 죄송하다.
-- 불법 초소형 기지국(펨토셀) 아이디 추가 발견하고 검증한 과정은.
▲ (구 본부장) 불법 결제 과정에서 발생한 특성이 있었다. 그 특성을 따라가다 보니 기지국 아이디가 안 보이는 영역이 있었다. 기지국 접속로그까지 연계해보니 피해자의 아이디가 중복되는 것을 확인했다. 용의자가 잡힌 만큼 불법 펨토셀 하드웨어가 몇 대인지 실체가 나올 것이다.
-- 향후 펨토셀 관리 대책은
▲ (구 본부장) 3개월간 사용 이력이 없는 펨토셀 4만3천대는 즉시 연동 해지했다. 나머지 펨토셀도 관리시스템을 고도화해서 사용하지 않는 펨토셀은 불법적으로 사용되지 않도록 조치했다. 향후 펨토셀 관리 장기 로드맵을 발표하겠다.
-- 복제폰을 만들 때 필요한 요소는.
▲ (손정엽 디바이스사업본부장) 인증키값을 모르면 불법 복제폰을 만들 수 없다. 인증키값은 KT 시스템 내부와 유심에 있다. 인증키값은 서버와 유심에 저장돼있어 불법 복제폰은 불가능하다고 판단하고 있다.
-- 복제폰에 대한 우려를 덜기 위해선 IMEI 값이 자동응답시스템(ARS) 콜 전후로 바뀌었는지 보면 나온다. 분석 과정에서 휴대폰 교체 정황이 있나.
▲ (구 본부장) 휴대폰 교체 정황은 없다.
-- 향후 선제적으로 본인 인증을 다각화할 계획이 있나.
▲ (김 본부장) 당현이 있다. 패스 인증의 경우 2차 인증으로 생체 인증이나 핀번호 인증을 해야 한다. 선제적으로 생체인증 등을 도입할 수 있게 하겠다.
-- 추가로 예상되는 피해는.
▲ (김 본부장) 복제폰 우려가 큰데 인증키값이 굉장히 안전하게 보호되고 있어 그 부분의 우려는 없다.
-- 후속 조치로 KT 매장을 보안 전문 매장으로 만들겠다고 했는데.
▲ (김 본부장) KT가 운영 중인 보안 관련 서비스가 9개 있다. 후후라는 통화 앱이 있는데 KT 기술로 악성앱 탐지 등을 한다. (보안 관련) 응대할 수 있는 직원을 선정해서 시행하려고 한다.
-- KT는 정보보호에 1조원을 투자한다고 밝힌 바 있다.
▲ (황태선 정보보안실장) 불법 소액결제 피해가 발생했고 올해와 내년에는 투자에 대한 우선순위를 모바일 서비스, 단말 보안 쪽으로 재배치하도록 생각하고 있다.
-- 번호이동 위약금 면제를 검토 중인지.
▲ (김 본부장) 지난 브리핑 때 전향적으로 검토하겠다고 말씀드렸다. 고객 입장에서 신속히 검토해서 말씀드릴 수 있게 하겠다.
built@yna.co.kr
<연합뉴스>