김영섭 KT 대표가 최근 발생한 무단 소액결제 피해 사태에 대해 공식 사과하고, 피해 고객에 대한 100% 보상과 재발 방지를 약속했다. 이번 사태는 불법 초소형 기지국(펨토셀)을 통한 가입자식별정보(IMSI) 유출이 원인으로, 5561명의 개인정보 유출 가능성이 확인됐다.

김영섭 대표는 11일 서울 광화문 사옥에서 열린 기자회견에서 "소액결제 피해 사고로 고객들께 크나큰 불안과 심려를 끼쳐드린 점을 사과드린다"며 "피해 고객에게 머리 숙여 죄송하다는 말씀을 드린다"고 밝혔다.

그는 "관계 당국과 사고 원인을 파악 중이며, 모든 역량을 투입해 추가 피해를 막고 피해 고객에게 100% 보상책을 강구하겠다"고 강조했다.

KT의 자체 조사 결과, 이번 사태는 해커가 불법 초소형 기지국을 이용해 이용자의 유심(USIM)에 저장된 고유 식별 정보인 IMSI를 탈취해 발생한 것으로 파악됐다.

IMSI는 가입자 본인임을 증명하는 핵심 정보다. 평소에는 보안 시스템(FDS)이 이 정보를 대조해 해킹을 막지만, 'IMSI 캐처'는 사용자의 통신 정보를 가로채 이 IMSI를 직접 훔쳐낸다. 도둑맞은 '열쇠'로 문을 여는 셈이라, 보안 시스템이 비정상적인 시도임을 감지할 수 없게 만드는 원리다.

해커들은 이렇게 탈취한 정보를 이용해 정상적인 인증 시스템을 우회, 소액결제를 일으켰다. 현재까지 피해가 확인된 지역은 경기 광명·부천, 서울 금천 등 수도권 일부 지역이지만, 피해 지역이 더 넓어질 가능성도 제기된다.

KT는 유출 가능성이 확인된 고객 5561명에게 문자 메시지(SMS)를 통해 이 사실을 알리고, 개인정보보호위원회에 신고했다. 또한, 불법 기지국 신호 수신 이력이 있는 모든 고객에게 ▲무료 유심 교체 ▲유심 보호 서비스 가입을 지원한다.

이와 함께 KT는 ▲비정상 결제 자동 차단 시스템 강화 ▲24시간 전담 고객센터 운영 ▲피해 확인 고객 소액결제 요금 면제 등의 후속 조치를 즉각 시행했다.