개인정보위, KT·LGU+ 개인정보 유출 의혹 조사

개인정보보호위원회가 KT와 LG유플러스의 개인정보 유출 의혹에 대한 조사에 착수했다. 이는 최근 미국 보안 전문지가 KT와 LG유플러스의 해킹 정황을 공개하고 KT 이용자들을 대상으로 무단 소액결제 사건이 잇따라 발생하면서 개인정보 유출 의혹이 커진 데 따른 것이다. KT는 개인정보 유출은 없었다는 입장을 고수하고 있으나 의혹이 확산되자 개인정보위는 기업의 신고 여부와 관계없이 직접 조사에 나서기로 했다.


개인정보위는 10일 "언론 보도 등을 통해 관련 사실을 인지한 뒤 해당 기업을 대상으로 자료 제출을 요구하고 면담을 진행했으며 유관기관과 정보도 공유해왔다"며 "기업으로부터 별도의 유출 신고는 접수되지 않았지만 시민단체 민원과 피해자 신고가 잇따른 만큼 사실관계를 확인 중"이라고 밝혔다. 이번 조사는 구체적인 사건 경위와 실제 개인정보 유출 여부에 초점을 맞출 예정이다.

과학기술정보통신부도 전날 최우혁 정보보호네트워크정책관을 단장으로 KISA와 민간 전문가 등 14명으로 구성된 민관 합동조사단을 꾸려 본격적인 원인 조사에 들어갔다. 조사단은 해커가 불법 초소형 기지국을 설치해 이용자 트래픽을 가로챘을 가능성에 무게를 두고 있다.


무단 소액결제에 사용된 장비는 '펨토셀'로 불리는 초소형 기지국일 것으로 추정된다. 보안 업계에 따르면 가짜 기지국을 통해 IMSI(가입자 식별번호) 등 개인정보를 빼내는 방식이 활용됐을 가능성이 있다. 이 과정에서 피해자 휴대전화로 전송된 본인인증(PASS·ARS) 절차가 해커 쪽으로 전송돼 결제가 이뤄졌다는 의심도 제기된다.

KT는 이에 대해 "개인정보 해킹 정황은 확인되지 않았다"며 "피해 고객에게 금전적 손실이 발생하지 않도록 선제적 조치를 취하고 있으며 결제 한도를 하향 조정하는 등 추가 피해를 최소화하기 위해 대응하고 있다"고 설명했다. 회사 측은 또 "5일 새벽부터 비정상적인 소액결제 시도를 차단해 이후 추가 피해는 발생하지 않았다"고 덧붙였다.


앞서 지난달 말부터 수도권을 중심으로 KT 가입자들이 본인도 모르게 모바일 상품권 등 휴대전화 소액결제가 이뤄졌다는 신고가 이어졌다. 피해 금액은 1인당 수십만원 규모로 경기남부경찰청 사이버 수사대에 따르면 지난 9일까지 신고된 KT 소액결제 피해 사례는 모두 124건으로 피해액은 약 8000만원이다. 광명경찰서에 접수된 피해액은 약 3800만원, 서울 금천경찰서 780만원, 부천 소사경찰서 411만원이며 영등포경찰서에도 유사 신고가 접수됐다.