[기자수첩] KT, 침해사고 유출 상담 부정확해…대응 체계 명확한가

[산업일보]
‘SKT 유심대란!! 해킹에서 안전한 KT로 오세요~’

지난 4월 SKT 침해사고 당시 몇몇 KT 대리점에서는 매장 유리벽이나 입간판으로 이와 같은 내용의 ‘공포 마케팅’을 펼쳤다. 온라인 커뮤니티에서는 이를 두고 ‘KT는 얼마나 안전할 것 같냐’라는 반응을 보였다.

이러한 우려는, 5개월 만에 현실이 됐다. 지난달 말부터 이달 초까지 KT 고객 중 일부가 무단 소액결제 278건으로 총 1억 7천여만 원의 피해를 본 ‘KT 고객 무단 소액결체 침해 사고’가 발생했다.

불법 초소형 기지국, 일명 ‘가짜 기지국’으로의 강제 접속이 원인이다. KT가 11일 진행한 기자회견에 따르면, 2개의 불법 기지국이 발견됐고 해당 기지국 신호를 수신한 KT 가입자는 1만 9천 명에 달한다.

KT는 이 가운데 5천561명의 IMSI(유심 가입자식별번호)가 유출됐을 것으로 추정하고, 이들에게 개인정보보호위원회에 신고한 사실과 유출 대상 여부 조회 방법, 유심 교체 신청·보호서비스 가입 방법을 안내했다. KT는 불법 기지국 신호 수신 이력이 있는 고객들에게 무료 유심 교체를 지원할 방침이다.

그러나, KT의 대응에 ‘진심’이 담겼는지 의심된다는 KT 이용자들의 볼멘소리가 이어진다. 11일 오후 인천시 부평구에 거주 중인 KT 이용자 조 모 씨는 KT 고객센터로부터 걸려 온 전화를 받았다. 유출 가능성 의심 대상자라는 안내였다.

상담가는 소액결제 원천차단이 미설정 상태라며, 차단 서비스 신청을 도왔다. 이어 상담가는 “유심보호 서비스와 번호 도용 문자차단 서비스도 가입이 안 돼 있다”라고 전했는데, 조 모씨는 해당 서비스를 이미 사용 중이었다. 이에 “이전에 KT의 무료 보호 서비스는 다 가입한 것으로 안다”라고 하자, 상담가는 “맞다, 그런 것으로 확인된다”라고 말을 바꿨다.

알고 보니 조 씨는 4월 SKT 침해사고 당시 ‘유심보호서비스(로밍차단)’에 가입했었다. 그런데 KT에서는 최근 ‘(안심)유심보호서비스’를 새로 내놨다. 두 서비스는 로밍차단(기존), 허용(신규)의 차이만 있다. 민감한 개인정보 유출 사고 안내에서 상담가가 고객의 서비스 가입 여부, 명칭과 그 내용 등을 제대로 파악하지 못한 점은, KT의 가이드라인이 얼마나 명확한지 의문을 낳는다.

조 씨는 기자에게 “유출 가능성 의심 대상자라는 말을 들었을 때도 당황스러웠는데, 정확하지 않은 안내까지 이뤄지니 KT 서비스에 대한 불신이 깊어진다”라며 “타 통신사로의 변경을 고려하게 됐다”라고 전했다.

또한, KT는 8일 한국인터넷진흥원(KISA)에 소액결제 침해사고를 신고하면서 ‘PASS 전자서명인증업무 운영준칙’을 개정했다. 이중 기존 ‘배상 한계’ 규정에서 ‘KT는 가입자 또는 인증서를 신뢰하는 이용자에게 발생하는 손해에 대해 그 손해를 배상합니다’라고 명시한 부분을 삭제하고 ‘KT가 고의 또는 과실이 없는 경우에는 그 배상책임이 면제됩니다’라는 규정만 남겼다.

KT는 이번 무단 소액결제 침해사고 피해자들의 피해 금액을 전액 청구하지 않겠다고 밝혔다. 그러나, 침해사고 발생 인지 직후 배상 책임 규정을 손질한 점은 책임 회피를 위한 행보로 해석될 여지를 남긴다.

통신 서비스는 안전과 신뢰를 바탕으로 한다. 이번 KT 소액결제 침해사고의 원인으로 밝혀진 불법 기지국은 이용자가 피할 수 없는 ‘재난’과 같은 일이었다. 기지국을 선택해서 접속할 수 있던 것이 아니기 때문이다.

그동안 KT는 이용자들이 안심하고 통신 서비스를 누릴 수 있는 ‘방파제’ 역할을 하기로 약속하고 서비스 이용료를 받아왔다. 그러나 적게 봐도 5천여 명의 KT 이용자들은 방파제를 돌파한 재난의 영향을 받게 됐다. KT는 이번 사고에서 얼마나 제 역할을 했는가, 대응은 적절한가, 이용자들의 불신 섞인 의문이 커지고 있다.