KT에서 발생한 무단 소액 결제 사건에서 사용된 불법 초소형 기지국(팸토셀)이 기존 4개에서 20개로 늘었다. 불법 팸토셀에 접속한 이력이 있는 가입자도 2만30명에서 2만2227명으로 증가했다. 불법 기지국에 접속돼 개인 정보 유출 정황이 최초 발생한 시기는 지난해 10월로 파악됐다.
KT는 17일 오전 서울 종로구 KT WEST 사옥에서 기자회견을 열고 “소액 결제 피해와 관련한 데이터 전수 조사를 완료했다”며 “불법 초소형 기지국 ID(아이디)는 16개가 추가 발견돼 총 20개로 확인됐고 해당 기지국에 접속 이력이 있는 고객 수도 2197명이 늘어 총 2만2227명으로 집계됐다”고 밝혔다. KT는 이들의 국제이동가입자식별번호(IMSI), 국제단말기식별번호(IMEI), 휴대폰 번호가 유출된 것으로 보고 있다. 무단 소액 결제 피해 가입자는 기존 362명에서 6명이 추가됐다. 소액 결제 사건(777건) 총 피해액은 2억4000여 만원이다. 서창석 네트워크부문장은 “경찰에서 피해 사실 여부를 확인 요청한 가입자 220명은 모두 368명에 포함돼 있다”고 말했다.
KT는 지난해 8월 1일부터 올해 9월 10일까지 이뤄진 통신 과금 대행 결제 내역 약 1억5000만건을 전수 조사했다. 소액 결제 8400만건, DCB(Direct Carrier Billing·앱마켓을 통한 결제) 결제 6300만건을 포함한 것으로 ARS(자동응답전화)뿐 아니라 SMS(문자메시지), PASS 인증을 통해 일어난 결제까지 모두 조사했다고 KT는 밝혔다. 피해는 서울, 경기, 인천, 강원에서 발생했다.
KT는 전체 휴대폰과 기지국 간에 이뤄진 4조300억건에 달하는 접속 기록을 조사해 불법 팸토셀을 탐지한 뒤 불법 팸토셀 ID 접속 이력과 전체 결제 데이터를 교차 검증하는 방식으로 분석을 진행했다. 그 결과 무단 소액 결제가 최초로 발생한 시점은 기존 조사 내용처럼 올해 8월 5일이었고 KT가 비정상적인 소액 결제 시도를 차단한 9월 5일 이후 새로운 피해는 발생하지 않았다. 또한 PASS 인증을 통한 결제 및 DCB 결제에서는 비정상 결제가 발생하지 않은 것으로 나타났다.
KT는 “이번 조사 결과를 개인정보보호위원회 등 관계 기관에 보완 신고했다”면서 “추가로 피해가 확인된 고객에 대한 보호 조치도 시행했다”고 말했다. 김영걸 서비스프로덕트 본부장은 “민관 합동조사단과 고객 피해 사항을 고려해서 위약금 면제 여부를 최대한 이른 시일 안에 발표하겠다”고 말했다.