안녕하십니까? 과학기술정보통신부 제2차관 류제명입니다.

지금부터 KT 고객의 무단 소액결제 침해 사고에 대한 민·관 합동조사단의 조사 상황과 이용자 피해에 대한 대책 등에 대해 말씀드리겠습니다.

정부는 지난 4월 통신사 침해 사고에 이어 최근 국가 배후 조직의 해킹 정황, 휴대전화 소액결제 피해와 같은 사건이 연이어 발생한 상황을 엄중히 보고 있습니다.

과기정통부는 이번 KT 침해 사고가 이용자들에게 금전적 피해가 발생하는 등 중대한 침해 사고로 판단하여 민·관 합동조사단을 구성하여 정밀한 조사를 진행 중에 있습니다.

과기정통부는 지난 9월 8일 19시 16분에 KT로부터 침해 사고 신고를 접수한 직후 KT에 자료 제출 및 보전을 요구하고 당일 22시 50분에 KT 현장에 출동하여 사고 상황을 파악하였습니다.

당시에 KT는 이상 호 패턴이 있음을 이미 파악하고 9월 5일 03시부터 해당 트래픽을 차단하였다고 밝혔습니다.

당시 이상 호 패턴은 이용자 단말의 스미싱 감염으로 판단하여 침해 사고로 신고하지 않았다고 정부에 밝혔습니다. 이후 피해자의 통화 기록 분석을 통해 미등록 기지국 접속을 9월 8일 오후에 확인하였고, 당일 저녁에 침해 사고로 신고를 하게 되었다고 밝혔습니다.

과기정통부는 사고 상황을 파악한 후 피해 확산 방지를 위해 특정 지역에 한정하지 않고 전국에 대해 불법 기지국이 있는지 여부에 대한 조사를 요구하였으며, KT는 기운영 중인 기지국 전체를 조사한 결과 다른 불법 기지국이 존재하지 않는 것을 9월 9일 오후에 정부에 보고했습니다.

정부는 SK텔레콤과 LG유플러스에 대해서도 9월 9일 21시경 불법 기지국의 존재 여부를 파악토록 요청하고, 만일 동일한 사안이 확인될 경우 접속 차단 등 필요한 조치를 취할 것을 요구하였습니다.

SK텔레콤과 LG유플러스는 금일 오전 2차관 주재의 긴급점검회의에서 불법 기지국이 발견되지 않았음을 보고하였습니다.

더불어, 금일 오전에 있었던 긴급점검회의에서 KT가 파악하고 있는 보다 상세한 불법 소형 기지국에 대한 정보를 타 통신사에도 공유토록 하여 보다 정밀한 조사가 이루어지도록 요청하였습니다.

현재 통신 3사는 만일의 사태에 대비하여 모두 신규 초소형 기지국의 통신망 접속을 전면 제한하고 있으며, KT가 파악한 불법 초소형 기지국에서의 이상 트래픽 정보를 금일 중 타 통신사에도 공유하여 타 통신사가 점검할 수 있도록 조치하였습니다.

현재 KT를 비롯한 통신 3사는 불법적인 소액결제가 발생하지 않도록 네트워크와 서비스를 엄격하게 관리하고 있다고 밝혔습니다.

이와 같이 KT뿐만 아니라 타 통신사로 하여금 소액결제 피해 방지를 위한 기술적 조치를 취하도록 하는 한편, 과기정통부는 민·관 합동조사단을 통해 미등록 불법 기지국이 어떻게 통신망에 접속했는지, 어떤 방식으로 무단 소액결제가 이루어졌는지, 어떤 정보를 탈취했는지에 대해 면밀히 조사하고 불법 기지국 이외에도 다른 수법의 침해 사고 가능성에 대해서도 심도 있게 조사해 나갈 계획입니다.

다음은 이용자 피해에 대한 대책을 말씀드리겠습니다.

현재까지 KT에 접수된 직접적인 관련 민원은 177건, 7,782만 원으로 확인되었습니다. KT는 직접적인 민원으로 접수된 사안 외에도 추가 피해 사실 여부를 파악하기 위해 전체 통화 기록 분석 등을 통해 자체 파악한 결과, 총 현재까지 278건, 1억 7,000여만 원의 금전 피해가 있는 것으로 확인하고 있습니다.

KT는 무단 소액결제로 인한 모든 피해에 대해서는 피해 금액 전액에 대해서 청구하지 않기로 하였으며, 과기정통부는 타 통신사에 대해서도 만일 동일한 유형의 소액결제 피해가 발생할 경우 피해 금액을 이용자에게 청구하지 않도록 요청하였고 통신사들은 이를 수용하기로 하였습니다.

정부는 민·관 합동조사단을 통해 이번 침해 사고에 대한 원인 분석을 철저하고 투명하게 조사하여 대책을 강구하도록 하겠습니다.

과기정통부는 최근 통신사를 대상으로 한 침해 사고가 증가하고 있는 상황을 엄중하게 받아들이고 통신 3사의 망 관리 실태에 대한 전면적인 보안 점검을 실시할 계획입니다.

이를 토대로 보다 근본적인 대책을 마련하여 국민 여러분께 발표하도록 하겠습니다.

이상으로 KT 무단 소액결제 침해 사고 관련된 브리핑을 마치겠습니다. 추가로 설명할 부분에 대해서는 질의응답을 통해 답변드리도록 하겠습니다.

감사합니다.

저희가 미리 프린트를 나눠 드리지 못해 죄송하게 생각합니다. 궁금하신 점들 있으시면 저희가 배석한 저희 합동조사단 관련자들하고 KT 담당자들 통해서 답변을 드리도록 하겠습니다.


[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.

<질문> 이번 소형 기지국 사태 외에 저는 다른 것도 관심이 많은데 처음에 보도가 된 게 김수키 서버에서 LG와 LG유플러스 같은 경우는 해킹 지금 의혹이 있잖아요. 그런데 모 매체 보도에 따르면 과기정통부가 해킹이 있었다고 잠정 결론을 내렸는데 그게 정보통신망법상 신고를 안 해서 그렇게 보도가 됐어요. 그러니까 '해킹이라고 알고 있었지만 여건이 안 돼서 과기정통부가 조사를 못 했다.' 뭐 이렇게 보도가 났는데 그때 SKT 브리핑 때 정보통신... 정보보호네트워크정책관께서 SKT에 준하는 결과를, 조사를 했는데 해킹이 확인되지 않았다, 이렇게 말씀하셨거든요. 그래서 그 매체에서 보도한 것처럼 잠정 결론을, 잠정적으로 해킹이라고 결론을 냈는데 현실 여건상 어쩔 수 없이 조사를 못 한 건지 그게 첫 번째, 그게 첫 번째 질문이고요.

두 번째는 그 김수키 서버에 유출된 것과 이번에 소형 기지국과는 관련이 어떤 건지, 그거에 대해서 해킹 의혹이 여론이 조성... 해킹 의혹이 나오고 있었는데 갑자기 소형 기지국 사태도 또 따로 나오는 거잖아요. 그러니까 소액결제 사태가 나온 거잖아요. 그 둘의 연관성은 어떻게 되는지가 두 번째 질문입니다.

<답변> 첫 번째 질문에 대해서 답변드리겠습니다. 지난번 프랙(Phrack)에, 보안 매체인 프랙에 올라온 김수키 관련된 건에 대해서 정확한 사실을 말씀드려야 될 것 같은데요. 과기정통부와 KISA가 해킹으로 확인해서 신고를 권유한 게 아니고 프랙에 올라와 있다고 알려진 그 정보들이 해당 통신사들의 정보임을 확인했습니다. 정보임을 확인하고 당국과 KISA 입장에서는 해킹 사고의 정황이 있다는 그런 판단에 따라서 사업자한테 신고를 요청한 것이고요.

망법상 해킹 사고에 대한 침해 사고를 인지하고 신고토록 한 규정에 보면 이 사업자가 침해 사고임을 뭔가 입증할 수 있는 증거, 확인할 수 있는 그런 것들을 사업자도 확인을 했어야 되는데 이게 내부자의 소행인지 아니면 다른 공급망 이슈인지, 이 내부 정보가 유출된 것은 분명 사업자도 동의했지만 그것이 해킹 사고로 인해서 유출된 것인지, 다른 원인이 있을 수 있는지에 대해서 그런 것들을 명확하게 사업자가 수용하지 않고 그런 상황에서 정부는 이 침해 사고 정황을, 정황에 대한 판단을 하고 요청을 했던 것, 권유를 했던 것이고, 침해 사고라는 것을 단정하고 확인하고 신고 권유를 했던 것은 아니라는 점을 말씀드리겠습니다.

두 번째는 이번 소액결제 피해 사고와 김수키 관련된 그 사건의 연관성에 대해서는 지금 단계에서 말씀드리기는 좀 어려울 것 같습니다. 김수키 건과 관련돼서 침해 사고로 신고를 하진 않았지만 사업자들이 동의하에 지금 현재 사실조사를 당국이 하고 있고, 이번 건에 대해서는 민·관 합동조사단이 정식으로 구성돼서 조사를 지금 하고 있기 때문에 두 사건의 관련성에 대해서도 저희가 확인을 해보겠습니다.

<질문> 그런데 그때 SKT 브리핑 때 분명히 유출이라는 말씀도 안 하셨고 그거를 멘트를 보면 'KT와 LG유플러스는 어떤 유출 사태가 없구나.'라고 생각할 수밖에 없거든요, 그 답변에서는. 왜냐하면...

<답변> SKT 브리핑 시에 LG유플러스와 KT의 유출이 확인되지 않았다고 말씀드린 거는 프랙에 올라온 김수키 관련된 건하고는 무관한 상황, 그러니까 지금 현재로서는 그 연관성은 지금 확인할 수 없는데요. 이건 프랙은 지금 7월 16일인가요? 18일인가요?

<답변> (관계자) ***

<답변> 7월 18일 자에 있는 거고 제 기억이 저희가 SK텔레콤 브리핑했던 건 7월 4일이었습니다. 그 당시에 KT하고 LG유플러스에 대한 조사는 SK텔레콤에서 확인한, 그 확인된 악성코드, 악성코드를 기반으로 해서 동일한 악성코드가 있는지 여부를 KT와 LG유플러스를 두 차례에 걸쳐서 확인한 것이고요. 그래서 프랙에 올라온 정보가 유출된 그거하고는 직접적인 연결은 좀 저희가 확인해 봐야 되겠습니다만 당시 브리핑하고는 무관했다는 점 말씀드리겠습니다.

<질문> 이번 사태 관련해서 어제 보도설명자료에서 나온 내용으로는 불법 초소형 기지국을 원인으로 지목해서 조사 중이라고 했는데, 그런데 가상 기지국 얘기도 나왔었잖아요. 이게 2개가 구분이 되는 건지 아니면 그 가상 기지국으로 의심된다는 거에 이 초소형 기지국이 포함되는 건지 이거를 좀 구체적으로 설명해 주셨으면 좋겠고요. 이 부분 설명 부탁드립니다.

<답변> 추가적인 설명은 우리 KT에서 좀 해 주시면 좋을 것 같습니다.

<답변> (구재형 KT 네트워크기술본부장) KT 네트워크기술본부 구재형입니다. 말씀하신 가상 기지국이라는 초소형 기지국은 동일한 것을 의미하고요. 저희가 처음에 피해자들의 통화 패턴을 분석하면서 특정한 패턴을 확인했는데 그때 특정한 기지국 ID를 보고 이 부분이 이상하다 했는데 그게 실제 저희 망에 없는 장비였습니다. 그래서 저희가 그런 부분을 확인해서 차단할 수 있는 방법을 찾아서 현재 완벽하게 차단을 했습니다. 그래서 실제 현재는 전혀 그런 시도가 없는 상태입니다.

<질문> 그럼 이게 펨토셀을 의미하는 게 맞을까요? 초소형 기지국 같은 경우에는?

<답변> (구재형 KT 네트워크기술본부장) 저희가 아직 실물을 보지 않아서 어떤, 실제 어떤 무선 장치인지는 저희가 이번에 합동조사 결과나 경찰 수사를 통해서 밝혀질 것으로 보고 있고 그런 ID 체계나 이런 부분들이 그거하고 유사하기 때문에 저희가 그런 유사한 유형을 막기 위한 조치를 다 했다고 보시면 될 것 같습니다. 그래서 더 이상 접속 시도는 없는 상태입니다.

<질문> 이번에 조사 결과에서 KT가 자체적으로 집계한 게 보면 경찰 조사보다 피해액이 더 많다고 나왔는데요. 그건 어떤 근거로, 이번에 278건과 1억 7,000만 원의 피해가 나온 거를 뭘 근거로 삼으셨는지 궁금합니다.

<답변> 그것도 우리 KT에서 말씀드리는 게 더 정확할 것 같은데.

<답변> (관계자) 안녕하십니까? KT 사업을 담당하고 있는 *** 상무입니다. 저희가 어제 자 기준으로 6시 기준으로 집계했던 부분은 저희 고객센터에 피해 신고로 문의한 고객 인입 회선 수입니다. 그래서 그 건이 177건이고 그 부분 계속 업데이트되고 있는 사항이라고 보시면 될 것 같고요.

제가 경찰 쪽에서 신고 접수한 건은 정확하게 잘 인지를 못 하는 부분이 있고 아까 말씀하실 때, 차관님이 말씀하셨던 289건에 대해서는 저희가 아까 말씀드렸던... 278건에 대해서는 이런 불법 초소형 기지국에 노출되어 있는 것으로 의심했던 잠재적인 피해 대상자로 특정한 것이 278건이라고 보고 그 부분에 대한 어떤 지금 결제 추정액이 1억 5,000, 그리고 지금까지 피해 접수한 기준으로는 7,700만 원 이렇게 보실 수 있습니다.

<질문> 안녕하세요? 이게 여러 지역에서, 부산까지도 이런 얘기가 나오고 있는데 여러 지역에서 사고가 발생했는데 그럼 제가 이해가 안 가서... 이 불법 초소형 기지국이 여러 지역에서 동시다발적으로 이게 잡힌 건지 아니면 1곳에서만 이게 잡힌 건지 궁금하고요.

그리고 캄보디아나 태국 등에서 가상 기지국 만들어서 스미싱 피해를 뿌렸던 외신, 살펴보니까 그런 사례가 있었는데 그런 조직범죄의 성격이 있는지도 궁금합니다.

그리고 마지막으로 소액결제를 일괄 차단하거나 하는 그런 추가 조치는 없는지도 여쭙고 싶습니다.

<답변> 일단 저희가 해외에서도, 동남아시아에서도 있었던 그런 사례들에 대해서도 저희가 이야기를 들어서 연관성이 있는지 이런 것들은 경찰에서도 조사를 할 것으로 생각이 되고요. 저희들도 한번 계속 조사 과정에서 그런 것들을 살펴볼 계획입니다.

그런데 지금 저희 지역적으로 여러 군데 이런 부분은 경찰이 지금 수사 중에 있고, 또 지금 KT에 접수된 민원들 또 KT가 통화 기록을 통해서 등록되지 않은 장비의 ID를 통해서 이렇게 확인하는 것 그리고 또 경찰 수사를 통해서 경찰에 신고된 건들, 이런 것들을 종합해서 판단해야 되기 때문에 그 부분에 대해서는 좀 더 사실관계가 확인이 좀 더 필요할 것 같습니다.

<질문> ***

<답변> 소액결제 일괄 차단은.

<답변> (관계자) 추가적으로 말씀드리면 추가 피해 방지를 위해서 저희가 한 세 가지 정도를 결제 차단 방식으로서 운영하고 있습니다. 하나는 원천 차단 방식이고요. 원천 차단은 이후로도 결제를 할 수 없는 부분이고, 그다음에 하나는 일반 차단 형태로 해서 현재 이용하고 있는 한도를 제로로 이렇게 낮추는 방향으로 하는 부분, 그다음에 결제하는 데 있어서 좀 더 본인을 인증하는 2차 인증을 좀 더 강화하는, 더 수단을 강화하는 부분, 이런 부분 예를 들어 비밀번호라든지 지문 같은 생체인증을 추가한다든지 이런 부분을 추가적으로 진행하고 있습니다.

<질문> 설명 잘 듣고 있습니다. 먼저 여쭤보고 싶은 게 5일에 최초 피해가 발생했는데 이 이상신호를 인지하는 것이 3일이나 걸린 것이 보통 일반적인 것인지 아니면 혹은 이게 좀 누락될 수 있었던 이유가 있었는지 먼저 여쭙고 싶고요.

5일 이후에 지금 현재까지 피해가 발생 안 하고 있는데 그러면 지금 소비자들은 좀 안심해도 되는 것인지, 여기에 대해서 좀 우려를 씻을 수 있는 말씀을 정리해 주셨으면 좋겠습니다.

그리고 끝에 '불법 기지국 외 다른 수법의 침해 가능성에 대해서도 조사한다.' 이런 표현이 있었는데요. 그러면 현재로서는 그거 외에 다른 방법도 있었는지요?

그리고 끝으로, 제가 질문이 많아서 죄송한데요. 마지막으로 왜 KT에서만 이런 일이 발생했는지에 대해서 혹시 추정되거나 유추할 수 있는 것이 있다면 한 말씀 부탁드리겠습니다.

<답변> 세 번째 질문에 대해서는 참 답을 내놓기는 어려울 것 같고요. 그다음에 아까 두 번째 질문하신 내용이, 다른 해킹 수법. 지금 두 번째 질문에 대해서는 이게 지금 현재 등록되지 않은 기기, 장비가 코어망에 접속을 어떻게 했는지부터 또 접속을 했다 하더라도 이 소액결제가 이루어지기까지 여러 가지 확인이 좀 필요한 그런 부분들이 많습니다.

그래서 이게 그런 미등록 장치가 이렇게 확인된 건 분명한데 그걸... 그것만으로 이게 범죄가 이루어진 건지, 아니면 다른 어떤 메커니즘이 작동했는지 여러 가지 설명하고 확인할 부분들이 많다는 걸 말씀드린 거고요. 그런 가능성에 대해서 이번 조사 과정에서 더 여러 가지를 살펴봐야 될 것 같습니다.

그리고 아까 5일 이후, 8일까지 3일 그 부분에, 걸린 부분에 대해서는 KT가 설명을 드리면 좋겠고요.

추가적인 피해 가능성에 대해서는 오늘 오전에 제가 직접 통신 3사 기술진들하고 통신 3사 수뇌부하고 긴급점검회의를 가졌습니다. 가졌고, 9월 5일에 이상 호에 대한 차단을 KT가 실시하고 또 여러 가지 조치들을 통해서 추가적인 피해는 발생하지 않는 것으로 지금 확인되고 또 추가적인 피해가 있는지는 면밀하게 지금 모니터링을 하고 있는 상태고요.

SK텔레콤과 LG유플러스도 지금 혹시라도 KT와 같은 유사한 그런 사례가 있는지 지금 자체 조사를, 아까 말씀드린 듯이 했고, 또 오늘 오후... 오늘 중에 KT가 공유하는 보다 상세한 기술적 정보를 토대로 또 바로 지금 조사 작업을 하고 있습니다. 그래서 동일한 혹시 그런 사례가 있는지 다시 한번 지금 확인할 것이고, 피해 여부에 대해서도 지금 면밀히 관찰하고 있는데요. 그런 피해 사실은 없고, 또 피해 가능성에 대해서는 지금 철저하게 차단을 하고... 노력을 하고 있다는 점을 말씀드리겠습니다.

첫 부분은 KT에서.

<답변> (구재형 KT 네트워크기술본부장) 첫 번째, 5일 최초 피해 이후 3일 걸린 이유를 말씀드리겠습니다. 처음에 저희가 호 단위로 분석을 해서 이분들이 특정 패턴이라는 걸 인지하는 데 반나절 정도가 걸렸습니다. 그래서 그 이후에 저희가 새벽부터 이 한 콜, 한 콜 그 부분들을 막기 시작했습니다. 그래서 그런 부분들이 효과가 있다는 걸 확인하고 5일 주간부터 그런 부분들에 대해서 자동적으로 시스템이 막는 기능을 개발하기 시작했습니다.

그리고 추가적으로 저희가 시스템 측면에서 보면 모든 시스템에서 그런 타입이 들어오는 거를 2중, 3중 체크해서 각 시스템 단위로 다 막는 기능을 토요일까지 완료했습니다. 그 이후에, 저희가 그때까지는 스미싱이나 일단 단말에서의 어떤 원인으로 보고 그런 조치를 한 다음에 세부적으로 1명, 1명 전체 호를 들여다보니까 일부 고객에 대해서 이상한 ID가 보였습니다. 그래서 그 부분에 대해서 인지하고 하느라고 3일 정도 걸렸습니다.

그리고 아까 말씀하신 앞으로 안 발생하냐는 그 부분은 현재 저희가 조치한 이후로 5일 이후로 그런 호가 발생하지 않았고, 실제로 5일 이후로 그런 불법 무선장치의 접속 신호는 없었습니다, 저희가 호를 막으면서. 그렇지만 저희가 분석해서 이런 접속 시도 자체도 막아야 되겠다고 해서 그런 시스템에서의 접속 차단도 이미 신규도 막고 다 막아서 현재는 저희가 완전히 안전하다고 생각하시면 될 것 같습니다. 이상입니다.

<질문> 기지국 ID가 기존에 등록되지 않았던 게 접속해서 코어망까지 들어간 거잖아요, 결국. 그럼 그 과정에서 ID만 있다고 들어가는 게 아니고 어떤 키값이 있어야지 들어갈 텐데 그 과정이 어떻게 가능했는지 궁금하고요. 그리고 또 설사 접속을 한다고 해도 코어망에 들어가면 IMSI 값도 있고 키값도 있고 여러 가지 인증 절차가 있는데 그것까지도 들어가서 소액결제가 일어났다는 거는 조금 납득이 잘 안 되는 상황입니다. 그래서 이게 만약에 SK텔레콤에서 유심 인증... 유심이 유출됐을 때 그때 KT와 LG유플러스의 경우 암호화해서 관리하고 있다, 라고 그때 정부에서 발표를 했었는데 실제로 암호화해서 관리를 하고 있던 게 맞는지 좀 의심스럽습니다.

<답변> 이 부분에 대해서는 저희가 지금 합동조사단을 통해서 면밀하게 분석을 해야 될 부분 같습니다. 지금 KT도 지금 김 기자님이 지적하신 그런 의문점들에 대한 답을 저희가 지금 물은... 저희도 물어봤는데 그런 부분에 대해서 명쾌하게 지금 원인 분석이나 메커니즘에 대한 설명이 안 되고 있습니다.

그래서 어떻게 인증되지 않은 단말이 코어망에 접속이 가능했는지, 그리고 말씀하신 대로 여러 가지 키값이나 인증 절차들이 있는데 이게 어떻게 소액결제까지 가능했는지, 이런 부분에 대한 그런 것들은 조사가 지금 철저하게 돼 봐야 될 것 같고요. 그런 디테일한 상황에 대한 KT의 답변은 저희로서도 아직은 받지를 못 하고 있고 조사 과정에서 밝혀질 걸로 생각이 됩니다.

혹시 KT에서 추가할 부분이 있을까요?

<답변> (구재형 KT 네트워크기술본부장) 그 연동된 부분은 저희도 합동조사단을 통해서 밝혀야 될 것 같습니다. 현재 저희가 다 국제표준에 맞춰서 연동되어 있기 때문에 저희도 그런 부분은 조사단과 지금 분석을 하고 있어서 그 결과가 나오면 될 것 같고 실제 그리고 그렇더라도 소액결제가 이루어진 건 별개의 원인이라고 저희도 보고 있지만, 하지만 아까 말씀드린 저희가 호 패턴을 막았기 때문에 이제는 소액결제, 그런 이상 유형의 소액결제 시도 자체는 막고 있다고 생각하시면 됩니다.

<질문> 그 텔레콤은 그래도 그게 유출, 유심이 유출됐다는 걸 알고라도 있어서 이거를 신고했던 거지, KT는 그것조차 모르고 있던 게 아닌가 하는 의심이 드는데요. 유심이 유출, 유심 IMSI 값과 키값이 유출됐을 때 SK텔레콤은 아니까 신고를 했는데 KT는 그것조차 모르고 있어서 이게 결제가 일어난 게 아닌가.

<답변> (구재형 KT 네트워크기술본부장) 현재 IMSI하고 유심 유출 관련된 내용은 전혀 없는 상황으로 알고 있습니다.

<질문> 아까 전에 말씀하셨던 그 278건이 불법 초소형 기지국에 노출이 됐다고 말씀하셨는데 그리고 신고한 것과 다르다고 하셨잖아요. 그러면 이 278건에 대한 모든 노출이 이용자에게 알려진 건지 아니면 모르고 있을 가능성도 있는지 궁금합니다.

<답변> (관계자) 278건 분석 내용을 말씀드리면 전반적으로 저희가 과금에서 통화 이력 정보를 본 부분도 있고요. 그리고 앞서 발견됐다고 하는 불법적인 무선장치에서 접속했던 부분의 로그들 그런 부분을 통해서 실제 결정 내역하고 갖고 비교해서 확인한 사항입니다.

<답변> (관계자) 사업 쪽에서 추가적으로 말씀드리면 아까 숫자 관련돼서 제가 좀 기준이 다르게 말씀했던 부분이 있는데요. 278건에 1억 7,000만 원입니다. 그 부분은 결제 취소까지 포함했던 숫자고 저희가 전수 고객 대상으로, 기존에 고객센터로 저희가 들어왔던 128명의 고객 외에도 실제적으로 좀 더 전체적으로 모수가 더 커질 수 있는 가능성을 감안해서 분석을 했고요.

그분들은 아직 피해 사실을 인지 못 했을 수도 있기 때문에 저희가 오늘부터 직접 아웃바운드로 그래서 개별 연락을 드려서 실제로 피해 사실이 있는지를 확인하고 피해 사실이 확인되면 그 부분에 대해서는 전액 보상 조치, 그래서 납부가 되지 않도록 그렇게 진행하고 있습니다.

<질문> 아까 말씀해 주신 이상 패턴을 발견해서 그걸 보다 보니까 ID를 찾았다고 말씀해 주셨는데 그러면 기존에는 등록되지 않은 초소형 기지국을 모니터링하는 과정이 있었는지가 궁금해요. 정기적으로 5개만 몰려 있어야 되는데 6개가 몰려 있었다든지 그런 절차가 있었는지 궁금하고요.

또 한 가지는 여기 신규 기지국 그거를 차단했다고 나와 있어요. 신규라면 제가 알기로는 초소형 기지국이 널리 쓰이는 걸로 알고 있는데 등록된 기기 말고 앞으로 그러면 3사 모두 초소형 기지국을 쓰는 걸 당분간은 어쨌든 차단하는 건지 그렇게 두 가지가 궁금합니다.

<답변> (구재형 KT 네트워크기술본부장) 첫 번째, 이상 패턴 ID가 관리되지 않느냐. 실제 저희가 관리시스템에서 관리를 하고 있습니다. 그래서 이런 부분은 저희가 관리되지 않는 불법 무선장치가 접속되는 건 이번에 조사를 해봐야 저희가 확인이 될 것 같습니다.

그리고 두 번째 질문하신 신규 기지국 차단 의미는 과기정통부에서도 말씀하셨다시피 신설되는 기지국에 대해서는 저희 관리자가 하나하나 누가 사용하고 이런 부분을 다 확인하면서 이렇게 철저히 확인 통제하에 이렇게 설치를 하는 거고, 기본적으로는 차단이 되어 있고 꼭 필요한 거는 확인하면서 하기 때문에 안전하게 운용되고 있다고 보시면 될 것 같습니다.

<질문> 그러면 이게 그럼 정기적으로 비정상 초소형 기지국이라 해야 되나요? 그걸 계속 모니터링하는데 이거는 피해가 나와서 들여다봐서 ID를 보니까 연결됐다, 이렇게 봐야 되는 건지.

<답변> (구재형 KT 네트워크기술본부장) 실제로 저희가 운용되는 기지국들은 다 정확하게 관리는 되고 있습니다. 그래서 이번에 이런 장치는 저희가 사용하지 않는, 말씀드린 저희 관리시스템에도 없는 실제 ID만 보였지 저희도 이 실체를 아직 모르고 있습니다. ID만 저희가 확인하고 막은 상태라서, 그래서 그거는 조사 결과가 나와서 뭔가 실물이 나오면 저희가 좀 더 답변을 드릴 수 있을 것 같습니다.

<질문> ID는 이제까지 하나만 나온 거예요? 왜냐면 여러 지역을 옮겨 다녔다고 하니까요.

<답변> (구재형 KT 네트워크기술본부장) 그게 합동조사단 통해서 지금 전체, 전국에 있는 걸 조사하고 있습니다.

<질문> KT가 어제 자료 냈을 때 개인정보 해킹 정황은 없다고... 없는 걸로 확인됐다고 했는데 이게 합조단 조사에서 어느 정도 좀 확인된 내용을 근거로 정부와 얘기가 돼서 이렇게 공식 입장을 밝힌 건지 아니면 지금 정부는 개인정보 혹시 해킹 정황도 염두에 두고 있는 건지 궁금하고요.

이거와 관련해 오늘 브리핑하실 때 결국 이 불법 기지국이 통신망에 접속은 했지만 과연 무단 소액결제가 어떤 방식으로 이루어졌는지에 대한 거는 추가 조사가 필요하다고 하셨는데, 그럼 그럴 경우에 아까 개인정보나 단말 정보 그런 것들이 결합돼서 했다면 그런 정보들이 어떻게 KT의 다른 내부망이든 아니면 대리점이든 그런 정보가 유출됐을 가능성은 있다고 보시는지 한번 궁금합니다.

<답변> 첫 번째, 개인정보 유출 정황에 대한 이런 문제는 지금 합동조사단이 이제 막 조사를 시작한 단계이고, 또 그 부분에 대해서 우리 민·관 합동조사단에는 KT가 정확한 이야기는 하지 않은 상태고요. 개인정보 유출 정황과 관련돼서는 개인정보보호위원회에서 별도로 조사를 할 계획인 것으로 알고는 있습니다.

그리고 다양한 지금, 아까도 말씀드렸지만 여러 가지 의문점이 있습니다. 확인, 지금 단계에서는 확인해 드리기 어려운 어떻게 코어망에 이렇게 등록되지 않은 장비가 붙을 수 있는지부터 해서 또 실제 결제가 이루어지기까지는 여러 가지 키값부터 인증 절차 이런 것들, 암호화했느냐, 이런 것들이 다양한 메커니즘이 작동해야 가능한데 과연 그런 게 어떻게 이루어졌는지, 또 그 정보는, 개인정보는 어디서 어떤 방식으로 획득이 됐는지 이런 것들은 조사를 통해서, 지금 면밀한 조사가 필요한 것 같다는 생각입니다.

지금 단계에서는 그 연결, 어떻게 연결이 되는지, 어떤 메커니즘이 작동했는지는 확인해 드리기 어려운 단계입니다. 조사를 통해서, 철저하게 조사해서 밝혀보도록 할 계획입니다.

<질문> KT분들도 나오신 것 같아서 저 간단히 한 가지만 질문드릴게요. 지금 추가 피해가 앞으로 더 나올 수도 있고 안 나올 수도 있고 아무도 모르는 것인데 그런데 정작 KT 가입자들은 이 사실이 일어난 것도 모르는 경우 있는 것 같아요. KT 전체 가입자들에 예를 들면 문자 고지라든가 이런 것 하실 의향이 있으신지, 있으시다면 언제쯤 하실 의향이 있으신지 질문드립니다.

<답변> (관계자) 현재 기자님들 아시겠지만 저희가 이 무단 결제, 소액결제 피해가 있었던 사실에 대해서는 홈페이지에는 게시를 했고요. 추가적으로 이 부분에 홈페이지 게시를 인지하기가 쉽지 않은 부분이 있다는 부분을 감안해서 저희 홈페이지에 팝업 형태로 해서 인지할 수 있게끔 했습니다.

개별 고지에 대해서는 내부적으로 조금 더 검토를 해서 말씀드릴 수 있도록 하겠습니다.

<질문> KT뿐만 아니고 KT 회선을 이용한... KT뿐만 아니고 KT 회선 이용한 알뜰폰 통신사도 피해가 발생한 것 같은데 178건에 이분들도 포함된 건지 궁금하고요. 그리고 알뜰폰 통신사는 어떤 로직으로 피해가 발생한 건지도 파악된 게 있으면 공유 부탁드립니다.

<답변> (관계자) 알뜰폰 포함 여부에 대해서는 앞에서 저희 고객센터로 인입됐던 177건 중 *** 고객 31건이 포함되어 있습니다. 그런데 그 부분은 저희 고객센터로 인입되는 부분은 아니고요. 알뜰폰 사업자로부터 저희가 받은 자료 기준으로 보시면 될 것 같습니다.

<답변> (구재형 KT 네트워크기술본부장) 두 번째 답변, 알뜰폰 회선 고객도 저희 망은 무선망은 같이 사용하고 있기 때문에 똑같이 피해를 보셨다고...

<질문> 안녕하세요? 과기정통부가 SKT한테 했던 것처럼 KT 피해 고객을 대상으로 위약금 면제나 일일 브리핑 같은 권고조치 같은 것 좀 검토하고 있는지 그게 궁금합니다.

<답변> 그런 부분에 대해서는 지금 민·관 합동조사단의 조사 결과에 따라서 저희가 판단해 보도록 하겠습니다. 그 당시 SK텔레콤에 대해서도 저희가 조사 결과를 조사를 진행하는 과정에서 사태의 심각성이나 이런 것들을 계속 확인하면서 저희가 대책들을 또 중간, 중간 발표하고 말씀드렸는데요. 이번 조사를 통해서도 필요한 부분들은 다 검토를 해 나갈 계획입니다.

<질문> 안녕하세요? 이제 과기정통부에서 신규 초소형 기지국에 대한 접속을 제한하셨는데요. 보안 전문가분들께서는 'KT의 기존의 초소형 기지국이 해킹된 것 아니냐?'라는 가능성도 제기하고 계신데 이 부분에 대해서는 어떻게 보셨는지 여쭙고 싶고요.

또 ARS 인증에 피해가 집중됐는데 이 부분에 대해서 정부가 좀 여러 가지 조치를 취하시는 건 없는지도 같이 여쭙겠습니다.

<답변> (구재형 KT 네트워크기술본부장) 신규 초소형 해킹 관련해서 그런 해킹은 전혀 아닙니다. 그러니까 무선장치를 가지고 저희가 어떤 식으로 연동이 됐는지를 합동조사를 통해서 확인 중이고 기존에 저희가 연동되어 있는 장비는 전혀 이상 없음을 저희가 확인했습니다.

<답변> (관계자) 지금 두 번째 물어보신 ARS 인증 관련해서는 지금 현재 더 조사가 필요한 부분이지만 일부 ARS 인증이 문제가 됐던 부분이 있습니다. 그래서 지금 통신사하고 이야기해서 결제 과정 중에서 좀 더 강화된 방법, SPASS 앱이라든지 이런 걸 사용하는 방안에 대해 지금 검토하고 있습니다.

<질문> 제가 듣기로는 펨토셀 같은 경우는 알리에서도 구매한 가능한 걸로 알고 있고 별도 등록 없이도 사용이 가능한 걸로 알고 있는데 규제에서 좀 미비점이 있던 게 아닌지 한 가지 질문드리고요.

또 하나는 KT에서는 '유심 해킹 정황은 없다.'라고 지금 단언을 하신 건데 그거에 대한 근거가 무엇인지 궁금합니다.

<답변> 펨토셀 관련된 부분은 저희가 이번에 한번 조사를 더 해서 규제적으로 보완할 부분이 있는지는 확인을 해 보겠습니다. 확인해서 대책을 강구하겠고요.

그다음에 KT 질문 주신.

<답변> (구재형 KT 네트워크기술본부장) 유심 해킹 정황 이번에 말씀드렸다시피 불법 무선장치가 있었던 걸로 보여서 유심 해킹과는 상관이 없다고 저희는 보고 있습니다.

<질문> 방금 전 질문에서 조금 이어가면 ARS 인증 시도만 이루어졌다고 들은 것 같은데 다른 인증 시도 공격도 있었는지 그거 하나만 좀 부탁드립니다.

<답변> (관계자) 이번에 소액결제 피해로 저희한테 접수됐던 고객의 케이스를 특정해 봤을 때는 상품권 사이트에서 ARS 인증으로 발생한 결제 건에 대해서 피해가 발생한 건으로, 또 발생한 것으로 저희가 확인되었고요. 나머지 결제 인증 방법은 아직까지는 확인되지 않았습니다.

<질문> 이게 좀 피해액과 관련해서 헷갈리는 게 지금 그 모든 것이 그 결제 피해가 이상 호 접속에 따른 것과 ARS가 맞물려서 일어난 게 그럼 지금까지 소액결제 피해라는 건지가 궁금하고요.

그리고 사실 그 1억 7,000만 원이 분석한 거로는 다 이상 호만 분석하신 것 같은데 그게 아닌 다른 소액결제 피해가 집계될 수도 있는 건지 좀 궁금합니다.

<답변> (관계자) 저희가 전수로 조사했던 부분이 있는데요. 현재까지는 말씀드렸던, 저희가 파악되었던 거는 278건에 1억 7,000만 원이고 그 부분에 대해서는 저희가 전체 추가적인 피해가 발생하지 않도록 전액 보상 처리하는 부분을 원칙으로 하고 있고 조금 더 대상을 넓혀서 분석을 하는 부분들도 한번, 추가적으로 한번 검토해서 해 보겠습니다. 현재까지 확인한 부분은 278건이었습니다.

<질문> ***

<답변> (관계자) 말씀 주셨던 것처럼 전체적으로 결제 건이 일어난 사항들을 다 본 거고요. 그 본 것 중에서 VoC을 냈던 고객들은 여기에 다 포함이 되어 있습니다. 피해를 입었다고 했던 고객들이 저희가 분석한 대상에 다 들어 있는 거고, 전체적으로 그중에서, 결제 건 중에서 이상하다고 본 부분이 최종적으로 278건으로 정리된 사항입니다. 결제 건은 전체적으로 다 보고 난 다음에 이상한 기지국을 잡았던 그런 부분들이 반영이 돼서 최종적으로 나온 숫자라고 보시면 되겠습니다.

<질문> ***

<답변> (관계자) 개별적으로 이상한 걸로도 확정지은 그런 부분들입니다. 나머지 결제 건도 다 본 사항입니다. 피해를 입었던 고객들도 다 포함이 되어 있고요.

<질문> 통신사가 매년 정보보호 취약 점검을 진행하는데 KT가 이때 가상 기지국에 대한 시나리오에 대한 대응이나 준비가 있었는지, 없었는지 궁금하고요. 지금까지 미등록된 기지국 지역이나 개수가 특정됐는지 궁금합니다.

<답변> (구재형 KT 네트워크기술본부장) 흔히 말하는 페이크 기지국이라고 자주 나오는 그런 부분은 저희가 준비는 하고 있었고요. 그래서 이번에도 저희가 다 표준에 맞춰서 운용하고 있어서 조사 결과가 나오면 저희가 어떤 부분인지는 확인이 가능할 것 같습니다.

그리고 기존에는 아까 관리시스템이 있어서 저희가 주기적으로 정상적인 기지국과 관리되지 않는 기지국을 주기적으로 체크를 해서 매일 그런 부분은 관리를 하고 있었습니다. 하지만 이번에 그런 관리되지 않은 부분에 대해서는 아예 못 들어오게 차단이, 약간 그런 부분과 연계되어 있다고 보시면 될 것 같습니다. 관리되지 않은 부분은 완전히 차단까지 했습니다.

<질문> 이번에 일부 피해 보고 사례 중에 카카오톡 로그아웃 사례도 있었는데 이게 중간에 SMS를 만약 탈취했다고 하더라도 이 부분은 좀 이해가 안 되더라고요. 그래서 이걸 어떻게 보고 계시고 있고, 또 정부 차원에서 카카오도 조사할 예정에 있는지 궁금합니다.

<답변> (관계자) 지금 언론 보도 통해서 일부 저희도 그 내용을 들었습니다. 그런데 아직 저희가 실질적으로 확인한 부분은 없는 부분입니다. 그래서 저희가 민·관 합동조사단 운영하면서 그 부분... 실제 카카오톡 로그아웃이 영향이 있는 부분인지 아니면 단순히 민원인이 그런 현상을 보고 제보를 한 건인지는 조사단 운영 과정 중에서 확인할 예정입니다.

<질문> 이게 저도 워낙 생각하지도 못 한 일이 있어서 그런데 지금 시나리오대로라 한다면 공격자가 특정됐을 때 어떤 처벌을 받게 되나요?

<답변> 공격자가 특정이 되면... 그거는 저희 합동조사단을 통해서 밝힐 수 있는 범위는 넘어서는 것 같고요. 공격자에 대한 수사는 지금 경찰청에서 하고 있어서 아마...

<답변> (관계자) 지금 기자님이 물어보신 거는 처벌을 어떤 거를 받는 거를 말씀하신... 네. 다양한 법 해석이 있을 거, 일단 굉장히... 일단 금전적으로 타인의 어떤 그런 걸 취했기 때문에 그런 처벌부터 시작해서 다양한 처벌 조항이 적용될 것 같은데 그 부분은 실제 범인이 검거되거나 아니면 수사 과정 중에 결정될 것 같습니다. 수사기관에서 확정할 거지 저희가, 그 부분 수사를 저희가 하는 부분은 아니다 보니까 답변드리기 어려운 점 양해 부탁드리겠습니다.

<질문> 278건을 전수조사를 하셨다고 지금 말씀하신 것 같은데요. 그러면 그 조사가 완료됐던 시점이 언제인지 그리고 이 조사가, 이 조사 이후에 추가로 더 조사를 할 계획이 있으신지 질문드립니다.

<답변> (관계자) 전수조사를 진행했었고 지금 분석해서 완료된 시점이 오늘 오전부로 확정을 지었습니다. 그런 부분들이 오늘 추가로 이렇게 확인되면서 여기서도 이렇게 발표드릴 수도 있던 사항입니다.

추가적인 부분도 앞서 말씀드린 것처럼 ARS뿐만 아니고 다양한 결제 그런 부분들이 추가로 있는지도 보고 있습니다.

<답변> 아까 말씀드린 대로 KT, 직접 지금 피해가 발생하고 있는 KT에서는 9월 5일 이상 호에 대한 차단을 실시한 이래로 지금 그 이후 피해 사례나 그 이상 접속은 지금 없는 것으로 확인되고 있고요. 그리고 타 통신사에서도 지금 피해는 없습니다만 혹시라도 있을 수 있는 그런 가능성에 대비하기 위해서 KT가 지금 갖고 있는 기술적인 정보는 다 타 통신사한테도 제공을 해서 또 그런 부분에 대한 대응도 지금 함께 해 나가고 있다는 말씀을 드리겠고요.

하여간 저희가 민·관 합동조사단을 통해서 지금 경찰에서도 수사를 하고 있습니다만 철저한 조사를 통해서 이런 일이 재발하지 않도록 대책을 강구하도록 그렇게 하겠습니다. 중간에 필요한 부분에 대해서는 또 추가적인 브리핑을 통해서 알려드리도록 하겠습니다. 긴 시간 감사합니다.

<답변> (사회자) 더 이상 질문이 없으신 것 같습니다. 이상으로 브리핑을 마치도록 하겠습니다. 감사합니다.

<끝>

이전다음기사

다음기사국방부 일일 정례 브리핑