KT의 무단 소액결제 사태가 단순 금융사고를 넘어, 2만명에 달하는 이용자의 핵심 통신 정보가 통째로 유출된 대규모 보안 참사로 번지고 있다.

KT는 18일 자체 조사를 통해 피해자가 362명, 피해액은 2억4000만원으로 늘었다고 밝히는 한편, 이보다 훨씬 심각한 개인정보 유출 사실을 추가로 확인했다고 발표했다.

이번 사태의 가장 충격적인 부분은 유출된 정보의 민감성이다. KT는 범죄에 사용된 불법 초소형 기지국이 기존 2개에서 4개로 추가 확인됐으며, 이 기지국 신호에 노출된 2만명의 ▲국제이동가입자식별정보(IMSI) ▲국제단말기식별번호(IMEI) ▲휴대전화 번호가 유출된 정황을 확인했다. 이는 단순 개인정보 유출을 넘어, 한 사람의 통신 이용자격을 증명하는 핵심 정보가 모두 넘어간 것을 의미한다.

IMSI는 유심(USIM) 카드마다 부여되는 고유 식별번호이며, IMEI는 스마트폰 단말기 자체의 주민등록번호와 같은 고유번호다. 보안 전문가들은 이 두 가지 정보가 전화번호와 함께 유출될 경우, 사실상 '통신의 신분증'을 통째로 도난당한 것과 같다고 경고한다. 이 정보들을 조합하면 특정인의 유심과 단말기를 그대로 복제하는 '복제폰' 제작이 가능해져 금융사기, 위치 추적 등까지 야기활 수 있다.

KT는 지난 6월부터 발생한 소액결제를 전수 조사하는 과정에서 상품권뿐만 아니라 교통카드 충전 등 새로운 유형의 피해를 발견했으며, 이를 추적해 추가적인 불법 기지국의 존재와 대규모 정보 유출 사실을 파악했다고 설명했다.