KT "불법 펨토셀 16개 추가 확인…소액결제 피해 368명"
최령 기자   입력: 2025.10.17 15:17:10
print
label
# 케이티 # KT # 펨토셀 # IMS # IMEI # 전화번호 # DCB # 서창석
ARS·SMS·PASS 결제 전수조사 결과 공개…"DB 유출 정황은 無"
이 기사는 2025년 10월 17일 15시 17분 유료콘텐츠서비스 딜사이트 플러스에 표출된 기사입니다.
서창석 KT 네트워크 부문 부사장이 17일 서울 종로구 KT 광화문빌딩 웨스트 사옥에서 열린 소액결제 피해 관련 기자 브리핑에서 고개 숙여 사과하고 있다. (사진=최령 기자)


[딜사이트 최령 기자] KT의 무단 소액결제 사고에 사용된 불법 초소형 기지국(펨토셀) ID가 기존 4개에서 16개 추가로 확인돼 총 20개로 늘었다. 이에 따라 피해 고객은 기존 362명에서 368명으로 늘었으며 불법 펨토셀 접속 고객도 약 2200명 증가한 2만2200여명으로 집계됐다. 새로 확인된 6명의 소액결제 피해액은 총 319만원이다.


KT는 17일 서울 종로구 광화문 사옥에서 무단 소액결제 및 해킹 사태 관련 3차 기자브리핑을 열고 피해 범위를 포함한 전수조사 결과를 발표했다. 이번 조사는 2024년 8월 1일부터 2025년 9월 10일까지 약 13개월간 발생한 통신과금대행 결제 약 1억5000만건을 대상으로 진행됐다.


서창석 KT 네트워크부문 부사장은 "소액결제 피해로 고객 여러분께 불편과 심려를 끼쳐드린 점 다시 한 번 사과드린다"며 "이번 조사는 피해 범위를 명확히 규명하고 추가 피해를 방지하기 위한 조치"라고 밝혔다.


KT는 이번 조사에서 소액결제 8400만건과 DCB(Direct Carrier Billing) 결제 6300만건을 포함해 자동응답방식(ARS)·문자메시지(SMS)·통신사 인증앱(PASS)인증 방식을 모두 점검했다. 기존에는 ARS만을 조사했지만 SMS와 PASS까지 분석 범위를 확대한 결과 SMS 인증을 통한 무단 소액결제도 일부 확인됐다. 다만 PASS 인증이나 앱마켓 결제(DCB)에서는 이상 결제가 발생하지 않았다.


소액결제는 통신사 인증을 거쳐 결제대행사(PG)를 통해 물품을 구매하는 방식으로 PASS·SMS·ARS 등의 인증 절차를 포함한다. 반면 DCB는 구글 플레이스토어 등 앱마켓에서 지문이나 아이디 같은 디바이스 인증을 통해 결제가 이뤄지며 통신사 인증은 개입하지 않는다. 두 결제 모두 청구서에는 함께 표시되지만 기술적 구조와 인증 절차는 다르다.


서 부사장은 "무단 소액결제는 지난해 8월 5일 최초 발생 이후 9월 5일 차단 조치 이후 추가 피해는 없다는 것으로 파악됐다"고 말했다.


김영걸 서비스프로덕트본부장은 "합동조사단 결과와 고객 피해 상황을 종합적으로 고려해 위약금 면제 여부를 검토하겠다"며 "기존 피해 고객 2만여명은 이미 안전안심보험이 적용 중이고 새로 확인된 고객도 지난달 18일부터 동일한 보장을 받도록 조치했다"고 밝혔다. 그는 "전국 2000여개 매장을 '안전안심 매장'으로 지정하고 전문 상담사를 배치해 악성앱 검사, 피싱보험 가입, 신고 절차 안내 등 현장 지원을 강화하고 있다"고 덧붙였다.


이세정 디시전인텔리전스랩장은 "불법 펨토셀은 접속자 수 변동이 심하고 오류 응답이 비정상적으로 많은 특징이 있다"며 "이 패턴을 4조건 이상의 접속 데이터에 적용해 추가 16개의 불법 ID를 확인했다"고 설명했다.


구재형 네트워크기술본부장은 "회사가 보유한 최대 기간인 13개월치 데이터를 모두 활용해 결제 1억5000만건과 접속 4조건을 교차 분석했다"며 "이번 조사로 파악 가능한 피해는 모두 확인된 상태"라고 말했다.


그는 "결제 시에는 이름, 생년월일, 성별 등이 필요한데 이 부분은 불법 기지국에서 확보할 수 없는 정보들"이라며 "합동조사단에서 실제 KT 내부 서버 침해 등을 조사하고 있는데 그 결과가 나와야 정확하게 알 수 있을 것"이라고 덧붙였다. 그는 "현재 불법 기지국을 통해 유출 정황이 확인된 개인정보는 국제이동가입자식별정보(IMS), 국제단말기식별번호(IMEI), 전화번호 등 3가지이며 나머지는 추가 조사를 통해 확인이 될 것"이라고 설명했다.


KT는 추가로 발견된 '5번 펨토셀'의 활동 내역에 대해 "기존 4개와 동일한 유형의 패턴을 보였으나, 1차 조사 당시 6~9월 데이터만 분석해 그 이전 활동은 확인하지 못했다"며 "분석 기간을 확대한 결과 과거 활동이 새로 탐지됐다"고 설명했다. 구 본부장은 "불법 장비가 실제 KT 망에 연동된 것은 맞지만 데이터베이스(DB)가 외부로 유출된 정황은 없고 표준적인 메시지 처리 과정에서 일부 정보가 노출됐을 가능성이 있다"고 밝혔다.


KT는 보안 조치 강화에 대해서 약속했다. 모현철 정보보안실 상무는 "비인가 장비가 망에 접근할 수 없도록 인증 체계를 강화했고 비정상 응답이나 트래픽이 감지되면 자동 차단하도록 시스템을 개편 중"이라며 "이달 내 실시간 모니터링 기능을 전면 적용할 계획"이라고 말했다. 서 부사장은 "기존에는 모니터링 체계가 충분하지 못했던 점을 인정하며 이번 일을 계기로 상시 탐지 시스템을 정비하겠다"고 했다.


유심 관련 우려에 대해서는 "인증키 유출 정황은 전혀 없으며 유심 복제 가능성도 없는 상황"이라며 "불안을 느끼는 고객에게는 유심 교체나 보호 서비스를 적극 안내하고 있으며 현재는 피해 고객 중심으로 지원을 진행 중"이라고 덧붙였다.


KT는 이번 조사 결과를 개인정보보호위원회 등 관계기관에 보완 신고했으며 추가 피해 고객에 대한 보호 조치를 이행 중이다. 서 부사장은 "정부 조사와 경찰 수사에 끝까지 성실히 협조하고 기술·제도적 보완책 마련과 실질적인 고객 보호에 최선을 다하겠다"고 강조했다.

최령 기자 rychoi@dealsite.co.kr

ⓒ새로운 눈으로 시장을 바라봅니다. 딜사이트 무단전재 배포금지

관련종목
관련기사