KT, 해킹 인정... 잠정적 피해 확인 고객은 5,561명
KT가 불법 초소형 기지국 접속 정황과 함께 일부 고객의 IMSI(국제이동가입자식별번호) 유출 가능성을 인정했습니다.
확인된 피해 가능 고객은 5,561명에 달하며, 회사는 개인정보보호위원회에 이를 신고했습니다. 하지만 사건을 둘러싼 진상은 여전히 오리무중입니다. 사건의 핵심을 밝히기 위해서는 다음 다섯 가지 질문에 답이 필요합니다.
1. 누가 금전적 이득을 챙겼는가
경찰과 한국인터넷진흥원은 피해 고객의 휴대폰 소액결제를 통해 티머니 충전과 상품권 구매 시도가 있었다고 밝혔습니다.
실제 현금화 여부에 대해서는 KT와 당국의 설명이 엇갈리고 있습니다. 티머니 충전은 본인 명의로만 가능해 해커가 직접 이득을 챙기기 어렵다는 분석이 있습니다. 반면 상품권은 구매 후 번호만 확보하면 타인도 사용할 수 있어 추적이 필요합니다. 만약 해커가 금전적 이익을 얻었다면 그 자금 흐름이 곧 수사의 실마리가 될 것입니다.
2. 불법 초소형 기지국이 진짜 원인인가
KT는 불법 초소형 기지국의 접속 사실을 확인했다고 밝혔습니다. 전문가들은 차량에 펨토셀을 싣고 다니며 네트워크를 가로채는 '워 드라이빙' 수법이 동원됐을 가능성을 제기합니다.
그러나 IMSI가 유출됐다고 해도 결제까지 이어지려면 본인인증 단계를 넘어야 하기에 단순 가로채기로는 설명이 부족합니다. 불법 기지국이 단순 캡처 장치였는지, 아니면 코어망까지 침투해 인증 체계를 교란했는지가 규명돼야 합니다.
3. IMSI만으로 결제가 가능했을까
IMSI는 망 내부에서만 쓰이는 식별자에 불과합니다. 휴대폰 번호(MSISDN), 청구 계정, 본인확인 값과 연결되지 않는 한 결제로 이어질 수 없습니다.
그렇다면 해커는 어떤 경로로 IMSI와 전화번호를 매핑했을까요. 제휴사 데이터, 헤더 인리치먼트, 서드파티 SDK, 로그 유출 등 여러 가능성이 거론됩니다. 정부도 "여러 키값과 인증 절차가 있는데 이를 어떻게 뚫었는지"를 가장 중요한 조사 과제로 보고 있습니다.
4. 본인인증은 어디서 무너졌나
티머니와 상품권 구매는 본인인증 절차를 반드시 거치도록 설계돼 있습니다. 그럼에도 결제가 가능했다면 ARS 인증 우회, SMS 인증번호 탈취, 직접결제(DCB) 흐름의 무결성 훼손 등 인증 단계에서 치명적 허점이 드러난 것입니다.
특히 결제사와 가맹점의 이상거래 탐지 로직이 정상적으로 작동했는지도 확인이 필요합니다. 정부는 현재 ARS 우회 가능성까지 포함해 정밀 조사를 진행하고 있습니다.
만약 아직은 가능성이 불과한 'ARS 우회'가 실제 있었던 일로 확인될 경우, 사태는 걷잡을 수 없는 상태에 다다를 수도 있습니다.
5. 왜 KT에서만 피해가 발생했는가
지금까지 확인된 피해자는 모두 KT 이용자입니다. 과기정통부는 다른 통신사까지 점검하고 있지만, 왜 유독 KT에서만 사건이 발생했는지는 여전히 미스터리입니다.
해킹 수법이 KT 네트워크에만 적용된 것인지, 아니면 모니터링·탐지 체계의 차이 때문인지는 분명히 밝혀져야 합니다. 초기 경보와 차단, 고객 통지까지 걸린 시간 등 대응 타임라인에도 허점이 있었는지 점검이 필요합니다.
이번 사건은 불법 기지국 접속과 IMSI 유출까지는 확인됐습니다.
그러나 'IMSI와 전화번호의 매핑'과 '본인인증 절차의 우회'라는 두 가지 핵심 고리가 밝혀지지 않는 이상, 전체 퍼즐은 맞춰지지 않습니다. 결국 이 두 가지가 풀려야 '왜 KT였는가'와 '누가 이득을 챙겼는가'라는 의문에도 답할 수 있을 것입니다.