"복제폰 실마리인데"…KT, 기지국 정보 왜 감추나
휴대전화 결제 분쟁…해킹·피싱 피해 논란 이어져
KT, 기지국 위치 공개 거부…피해자 입증 어려워
(서울=연합뉴스) 조성미 기자 = "이번에 드러난 KT 무단 소액결제 사건의 피해자들은 오히려 다행스러운 경우라는 생각마저 듭니다. 특이한 범죄 수법으로 주목받으면서 일괄 피해 구제가 됐으니까요. 하지만 저희 같은 경우는 사건을 해결할 실마리를 통신사가 쥐고도 내놓지 않아 도리 없이 불안에 떨고 있어요."
KT 무단 소액결제 사태 전에도 자신이 하지 않은 휴대전화 결제가 이뤄졌다는 분쟁은 끊이지 않고 있다.
경찰에 따르면 지난해 휴대전화 소액결제가 포함된 컴퓨터 등 사용 사기 범죄의 신고 접수 건수는 1만9천295건으로 2만건에 육박한다.
다만 여기에는 휴대전화 해킹으로 인한 복제폰 악용이 의심되는 사례뿐 아니라 결제 정보 유출, 보이스피싱·스미싱 피해, 일종의 사금융처럼 쓰이는 소위 '휴대폰깡' 등 다양한 사례가 포함돼 있다.
◇ 피해 입증의 열쇠, 기지국 위치 정보
휴대전화 결제 분쟁이 생길 때마다 통신사나 경찰이 '피싱에 당한 것 아니냐' 식으로 이용자 과실에 방점을 두고 접근하는 이유인데, 아무 잘못 없이 무단 결제·개인정보 변경 등 피해를 본 이들이 자신의 '결백'을 주장하기 위해 필요한 정보가 있다.
바로 무단 결제 등의 이상 현상이 일어날 당시의 데이터 수신이 어느 기지국에서 일어났는지 정보다.
가령 내 휴대전화가 한순간 실수로 누른 피싱 URL로 악성 코드에 감염된 뒤 해커 손에 넘어가 결제 등이 이뤄진 경우라면 휴대전화를 해커가 마음대로 조종할 뿐 데이터 송수신은 이용자가 위치한 기지국에서 그대로 이뤄진다.
그런데 만약 해킹으로 주요 유심 정보가 탈취돼 복제폰이 만들어진 경우 해당 복제폰이 수신하는 데이터의 기지국 위치 정보는 피해자가 있는 지역과 일치하지 않게 된다. 범죄자가 복제폰을 써서 원격에서 데이터를 주고받기 때문이다.
따라서 휴대전화 결제를 둘러싼 분쟁에서 통신사가 데이터 수신 시 기지국의 위치 정보를 공개하면 이용자 과실이 일정 부분 있는 피싱 등에 의한 것인지, 피해자 잘못 없이 해킹 범죄를 당한 복제폰 사건인지가 가려질 수 있다.
하지만 웬일인지 KT는 이상 결제 등이 이뤄진 시점의 데이터를 내주지 않고 있다.
광주에 사는 KT 이용자 A씨는 28일 연합뉴스에 지난해 말부터 자신의 휴대전화로 게임머니가 여러 차례 결제되며 지금까지 모두 220만원이 넘는 돈이 빠져나갔다고 밝혔다.
경찰과 통신사에 사정을 알리자 청소년인 자녀가 결제한 것 아니냐는 반응만 돌아왔다. 하지만 자녀가 게임이나 결제하지 않았음을 입증할 수 있는 시간대에도 자꾸 결제가 이뤄졌다.
게임머니 결제뿐 아니라 알 수 없는 IP에서 A씨의 네이버 계정에 접속하고 증권 계좌나 카카오톡의 비밀번호를 무단 변경하는 등 마치 다른 누군가가 자신의 휴대전화를 자유자재로 조종하는 일이 최근 수없이 반복되고 있다고 한다.
해킹에 의한 복제폰 범행 가능성을 의심한 A씨는 KT에 이상 행위들이 발생했을 때의 데이터 수신 기지국 정보를 요청했지만, KT는 "통신 요금 과금과 관련되는 송신 데이터 기지국 위치 정보만 알려줄 수 있고 수신 기지국 데이터는 공개할 수 없다"라는 답변을 되풀이 중이다.
A씨가 로그인 차단 기능을 지난달 말 설정했지만 지속적으로 네이버에 누군가의 접속 흔적이 남자 네이버 측에 문의한 결과 그는 "로그인 차단 기능 등을 설정했는데 개인 정보가 추가 노출됐다면 네트워크 환경을 점검해야 한다"는 답을 받았다.
통신 네트워크 문제가 의심된다고 판단한 A씨가 수신 기지국 데이터를 재차 요구했지만 KT 입장은 바뀌지 않고 있다.
A씨는 "KT에서는 일련의 '무단 소액결제' 사건 속 불법 기지국에 접속한 이력이 없는 별건이라고 치부하면서 해결 실마리로 보여 계속 요구하고 있는 기지국 정보는 감추고 있다"고 토로했다.
◇ 반복되는 KT의 기지국 위치 정보 '비공개' 방침
KT가 복제폰 의심 사건에서 수신 데이터 기지국 위치 정보를 비공개로 한 것은 A씨 사례뿐만이 아니다.
국회 과학기술정보방송통신위원회 최민희 위원장이 개인정보보호위원회로부터 제출받은 자료 등에 따르면 KT는 2021년 말부터 약 40명이 각각 많게는 2억7천만원 상당의 가상자산을 도난당했던 심 스와핑 지목 사례에서도 기지국 정보를 끝내 공개하지 않았다.
피해자 일부가 개인정보보호위원회 산하 개인정보분쟁조정위원회를 통해 유심 변경 당시 기지국 위치 정보를 요구하며 진상 규명을 시도했다.
당시 KT는 최근 A씨에 대해 답변한 것처럼 "수신인이 아닌 발신인을 기준으로 통신 관련 정보를 수집·보관하고 있어 발신자의 발신 기지국 정보는 있으나 문자 메시지 수신 기지국 정보는 없다"며 제공할 수 없다고 회신했다.
이에 개인정보분조위는 "개인의 휴대전화와 연결된 기지국 정보는 '개인정보보호법'에서 규정하는 개인 정보에 해당하며 전화나 문자 송·수신이 없더라도 통신사는 기지국 접속 정보를 수집하고 있으므로 발신, 수신을 나눌 것이 아니라 모든 정보를 공개해야 한다"고 결정했다.
하지만 법적 구속이 없는 개인정보위 해당 결정을 KT는 받아들이지 않았고 피해자들은 소송을 진행했다.
소송 결과에 대해 KT 관계자는 "쌍방의 주장이 상이한 부분이 있었지만 고객의 피해 보상이 우선이라고 판단해 상호 화해로 소송은 종결됐다"고 밝혔다. 가상자산 탈취 당시의 기지국 정보는 끝내 공개하지 않았다.
다른 통신사 관계자는 "고객 민원 처리와 요금 정산을 목적으로 기지국 정보를 3개월간 보관한다고 각 사가 이용약관에 기재하고 있고 KT 또한 마찬가지"라며 "민관합동조사단의 조사와 경찰의 수사 진행에 방해되는 게 아니라면 약관에 따르는 것이 맞다"고 했다.
김보라미 법률사무소 디케 변호사는 "이용자는 해킹당한 것 같은 상황에서도 자신의 정보조차 제대로 받지 못한 채 범죄 입증에 고군분투하는 셈"이라며 "개인정보 유출 조사 권한이 경찰에서 과학기술정보통신부와 개인정보위로 넘어가며 통신사 입장이 강조되고 이용자 보호에는 소극적인 대응이 이뤄지고 있다"고 비판했다.
김 변호사는 "KT 소액결제 사태를 계기로 개인정보보호법에 수신 데이터를 포함한 기지국 정보가 개인정보에 해당한다고 명시하는 법 개정을 통해 이용자들이 애태우는 일이 더는 없어야 한다"고 지적했다.
한편, A씨 등 불법 초소형 기지국이 쓰인 무단 소액결제 사건에 해당하지 않지만 자신이 하지 않은 휴대전화 결제 문제를 겪고 있는 이용자들은 법률구조공단 공익소송 등 집단 대응 방안을 강구 중인 것으로 전해졌다.
csm@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포, AI 학습 및 활용 금지>
휴대전화 결제 분쟁…해킹·피싱 피해 논란 이어져
KT, 기지국 위치 공개 거부…피해자 입증 어려워
(서울=연합뉴스) 조성미 기자 = "이번에 드러난 KT 무단 소액결제 사건의 피해자들은 오히려 다행스러운 경우라는 생각마저 듭니다. 특이한 범죄 수법으로 주목받으면서 일괄 피해 구제가 됐으니까요. 하지만 저희 같은 경우는 사건을 해결할 실마리를 통신사가 쥐고도 내놓지 않아 도리 없이 불안에 떨고 있어요."
KT 무단 소액결제 사태 전에도 자신이 하지 않은 휴대전화 결제가 이뤄졌다는 분쟁은 끊이지 않고 있다.
경찰에 따르면 지난해 휴대전화 소액결제가 포함된 컴퓨터 등 사용 사기 범죄의 신고 접수 건수는 1만9천295건으로 2만건에 육박한다.
다만 여기에는 휴대전화 해킹으로 인한 복제폰 악용이 의심되는 사례뿐 아니라 결제 정보 유출, 보이스피싱·스미싱 피해, 일종의 사금융처럼 쓰이는 소위 '휴대폰깡' 등 다양한 사례가 포함돼 있다.
◇ 피해 입증의 열쇠, 기지국 위치 정보
휴대전화 결제 분쟁이 생길 때마다 통신사나 경찰이 '피싱에 당한 것 아니냐' 식으로 이용자 과실에 방점을 두고 접근하는 이유인데, 아무 잘못 없이 무단 결제·개인정보 변경 등 피해를 본 이들이 자신의 '결백'을 주장하기 위해 필요한 정보가 있다.
바로 무단 결제 등의 이상 현상이 일어날 당시의 데이터 수신이 어느 기지국에서 일어났는지 정보다.
가령 내 휴대전화가 한순간 실수로 누른 피싱 URL로 악성 코드에 감염된 뒤 해커 손에 넘어가 결제 등이 이뤄진 경우라면 휴대전화를 해커가 마음대로 조종할 뿐 데이터 송수신은 이용자가 위치한 기지국에서 그대로 이뤄진다.
그런데 만약 해킹으로 주요 유심 정보가 탈취돼 복제폰이 만들어진 경우 해당 복제폰이 수신하는 데이터의 기지국 위치 정보는 피해자가 있는 지역과 일치하지 않게 된다. 범죄자가 복제폰을 써서 원격에서 데이터를 주고받기 때문이다.
따라서 휴대전화 결제를 둘러싼 분쟁에서 통신사가 데이터 수신 시 기지국의 위치 정보를 공개하면 이용자 과실이 일정 부분 있는 피싱 등에 의한 것인지, 피해자 잘못 없이 해킹 범죄를 당한 복제폰 사건인지가 가려질 수 있다.
하지만 웬일인지 KT는 이상 결제 등이 이뤄진 시점의 데이터를 내주지 않고 있다.
광주에 사는 KT 이용자 A씨는 28일 연합뉴스에 지난해 말부터 자신의 휴대전화로 게임머니가 여러 차례 결제되며 지금까지 모두 220만원이 넘는 돈이 빠져나갔다고 밝혔다.
경찰과 통신사에 사정을 알리자 청소년인 자녀가 결제한 것 아니냐는 반응만 돌아왔다. 하지만 자녀가 게임이나 결제하지 않았음을 입증할 수 있는 시간대에도 자꾸 결제가 이뤄졌다.
게임머니 결제뿐 아니라 알 수 없는 IP에서 A씨의 네이버 계정에 접속하고 증권 계좌나 카카오톡의 비밀번호를 무단 변경하는 등 마치 다른 누군가가 자신의 휴대전화를 자유자재로 조종하는 일이 최근 수없이 반복되고 있다고 한다.
해킹에 의한 복제폰 범행 가능성을 의심한 A씨는 KT에 이상 행위들이 발생했을 때의 데이터 수신 기지국 정보를 요청했지만, KT는 "통신 요금 과금과 관련되는 송신 데이터 기지국 위치 정보만 알려줄 수 있고 수신 기지국 데이터는 공개할 수 없다"라는 답변을 되풀이 중이다.
A씨가 로그인 차단 기능을 지난달 말 설정했지만 지속적으로 네이버에 누군가의 접속 흔적이 남자 네이버 측에 문의한 결과 그는 "로그인 차단 기능 등을 설정했는데 개인 정보가 추가 노출됐다면 네트워크 환경을 점검해야 한다"는 답을 받았다.
통신 네트워크 문제가 의심된다고 판단한 A씨가 수신 기지국 데이터를 재차 요구했지만 KT 입장은 바뀌지 않고 있다.
A씨는 "KT에서는 일련의 '무단 소액결제' 사건 속 불법 기지국에 접속한 이력이 없는 별건이라고 치부하면서 해결 실마리로 보여 계속 요구하고 있는 기지국 정보는 감추고 있다"고 토로했다.
◇ 반복되는 KT의 기지국 위치 정보 '비공개' 방침
KT가 복제폰 의심 사건에서 수신 데이터 기지국 위치 정보를 비공개로 한 것은 A씨 사례뿐만이 아니다.
국회 과학기술정보방송통신위원회 최민희 위원장이 개인정보보호위원회로부터 제출받은 자료 등에 따르면 KT는 2021년 말부터 약 40명이 각각 많게는 2억7천만원 상당의 가상자산을 도난당했던 심 스와핑 지목 사례에서도 기지국 정보를 끝내 공개하지 않았다.
피해자 일부가 개인정보보호위원회 산하 개인정보분쟁조정위원회를 통해 유심 변경 당시 기지국 위치 정보를 요구하며 진상 규명을 시도했다.
당시 KT는 최근 A씨에 대해 답변한 것처럼 "수신인이 아닌 발신인을 기준으로 통신 관련 정보를 수집·보관하고 있어 발신자의 발신 기지국 정보는 있으나 문자 메시지 수신 기지국 정보는 없다"며 제공할 수 없다고 회신했다.
이에 개인정보분조위는 "개인의 휴대전화와 연결된 기지국 정보는 '개인정보보호법'에서 규정하는 개인 정보에 해당하며 전화나 문자 송·수신이 없더라도 통신사는 기지국 접속 정보를 수집하고 있으므로 발신, 수신을 나눌 것이 아니라 모든 정보를 공개해야 한다"고 결정했다.
하지만 법적 구속이 없는 개인정보위 해당 결정을 KT는 받아들이지 않았고 피해자들은 소송을 진행했다.
소송 결과에 대해 KT 관계자는 "쌍방의 주장이 상이한 부분이 있었지만 고객의 피해 보상이 우선이라고 판단해 상호 화해로 소송은 종결됐다"고 밝혔다. 가상자산 탈취 당시의 기지국 정보는 끝내 공개하지 않았다.
다른 통신사 관계자는 "고객 민원 처리와 요금 정산을 목적으로 기지국 정보를 3개월간 보관한다고 각 사가 이용약관에 기재하고 있고 KT 또한 마찬가지"라며 "민관합동조사단의 조사와 경찰의 수사 진행에 방해되는 게 아니라면 약관에 따르는 것이 맞다"고 했다.
김보라미 법률사무소 디케 변호사는 "이용자는 해킹당한 것 같은 상황에서도 자신의 정보조차 제대로 받지 못한 채 범죄 입증에 고군분투하는 셈"이라며 "개인정보 유출 조사 권한이 경찰에서 과학기술정보통신부와 개인정보위로 넘어가며 통신사 입장이 강조되고 이용자 보호에는 소극적인 대응이 이뤄지고 있다"고 비판했다.
김 변호사는 "KT 소액결제 사태를 계기로 개인정보보호법에 수신 데이터를 포함한 기지국 정보가 개인정보에 해당한다고 명시하는 법 개정을 통해 이용자들이 애태우는 일이 더는 없어야 한다"고 지적했다.
한편, A씨 등 불법 초소형 기지국이 쓰인 무단 소액결제 사건에 해당하지 않지만 자신이 하지 않은 휴대전화 결제 문제를 겪고 있는 이용자들은 법률구조공단 공익소송 등 집단 대응 방안을 강구 중인 것으로 전해졌다.
csm@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포, AI 학습 및 활용 금지>
관련뉴스
