(보도참고) 개인정보위, 'KT 무단 소액결제사건' 관련 개인정보 유출신고 접수

다음은 대한민국 정부 부처 보도자료를 바탕으로 작성된 상세하고 포괄적인 요약입니다.

1. 핵심 요약

개인정보보호위원회(이하 개인정보위)는 2025년 9월 11일, KT로부터 '무단 소액결제사건'과 관련하여 개인정보 유출 신고를 공식적으로 접수했습니다. KT는 고객 단말(휴대폰) 통신 과정에서 불법 초소형 기지국 접속으로 인해 알뜰폰 이용자를 포함한 총 5,561명의 가입자식별번호(IMSI)*가 유출되었을 가능성을 확인하고 이를 신고했습니다. 개인정보위는 이번 사건의 구체적인 유출 경위 및 피해 규모, 그리고 KT의 개인정보 안전조치 의무 준수 여부를 철저히 조사하여 법 위반 사항이 발견될 경우 관련 법령에 따라 엄중히 처분할 예정입니다. 이 조치는 국민의 통신 및 개인정보 보호에 대한 신뢰를 회복하고 유사 사건 재발을 방지하기 위한 중요한 단계입니다.
*가입자식별번호(IMSI): 통신사가 사용자를 고유하게 식별하기 위해 USIM(유심) 안에 저장된 정보로 국가코드, 통신사코드, 개인고유번호(전화번호)로 구성됩니다.

2. 주요 내용

1. 개인정보 유출 신고 접수: 개인정보보호위원회는 2025년 9월 11일 14시 51분, KT로부터 '무단 소액결제사건'과 연루된 개인정보 유출 신고를 공식적으로 접수했습니다. 이는 「개인정보보호법」에 따라 개인정보 처리자가 유출 사고 발생 시 의무적으로 개인정보위에 신고해야 하는 절차에 따른 것으로, 신속한 대응을 위한 첫걸음입니다.
2. 유출 가능성 확인 및 규모: KT는 자체 확인 결과, 알뜰폰 이용자를 포함한 총 5,561명의 이용자 개인정보가 유출되었을 가능성을 인지하고 이를 개인정보위에 신고했습니다. 이는 불법적인 수단을 통해 다수의 통신 이용자 정보가 노출될 수 있음을 시사하며, 잠재적 피해 규모가 상당할 수 있음을 보여줍니다.
3. 유출된 개인정보의 종류: 유출 가능성이 제기된 정보는 '가입자식별번호(IMSI)'로, 이는 통신사가 사용자를 고유하게 식별하기 위해 USIM(유심)에 저장하는 중요한 정보입니다. IMSI는 국가코드, 통신사코드, 그리고 개인 고유번호(전화번호)로 구성되어 있어, 유출 시 개인 식별 및 통신 서비스 악용, 스팸 발송 등 2차 피해의 위험이 있습니다.
4. 유출 발생 원인: KT는 고객 단말(휴대폰)의 통신 과정에서 '불법 초소형 기지국'에 접속된 것이 이번 개인정보 유출의 원인이라고 밝혔습니다. 이는 정상적인 통신망이 아닌 불법적인 장비에 연결되어 정보가 탈취되었을 가능성을 의미하며, 통신망 보안 취약점을 악용한 신종 수법일 수 있어 통신 인프라 전반의 보안 강화 필요성을 제기합니다.
5. 개인정보위의 즉각적인 조사 착수: 개인정보위는 신고 접수 즉시, 유출 경위와 피해 규모를 면밀히 파악하기 위한 조사에 착수했습니다. 이는 개인정보 유출 사고에 대한 신속한 대응을 통해 추가 피해를 방지하고 국민의 불안감을 해소하기 위한 필수적인 절차이며, 조사2과가 담당 부서로 지정되었습니다.
6. 안전조치 의무 준수 여부 확인: 개인정보위는 KT가 「개인정보보호법」에 명시된 안전조치 의무를 제대로 준수했는지 여부를 중점적으로 확인할 예정입니다. 통신사업자는 대량의 민감한 개인정보를 다루는 만큼, 해킹 및 불법 접근으로부터 정보를 보호하기 위한 강력한 기술적·관리적·물리적 보안 시스템과 관리 체계를 갖춰야 할 법적 책임이 있습니다.
7. 법 위반 시 엄중 처분 예고: 조사 결과 법 위반 사항이 발견될 경우, 개인정보위는 관련 법령에 따라 KT에 대한 행정처분(과징금, 과태료 부과, 시정명령 등)을 내릴 방침입니다. 이는 개인정보보호법의 실효성을 확보하고 기업의 개인정보보호 책임 의식을 강화하기 위한 강력한 의지를 보여주며, 유사 사건 재발 방지에 기여할 것입니다.

3. 배경 및 목적

현대 사회에서 개인정보는 디지털 경제의 핵심 자산이자 동시에 개인의 기본권을 보호하는 중요한 요소입니다. 특히 통신 서비스는 국민 대다수가 일상적으로 이용하며, 이 과정에서 수집되는 가입자식별번호(IMSI)와 같은 정보는 개인의 통신 활동과 밀접하게 연관되어 있어 유출 시 심각한 사생활 침해 및 금융 범죄, 보이스피싱 등 2차 피해로 이어질 수 있습니다. 이러한 배경 속에서 개인정보보호위원회는 국민의 개인정보를 안전하게 보호하고, 정보 주체의 권리를 보장하며, 개인정보보호 관련 정책을 총괄하기 위해 설립된 독립적인 중앙행정기관입니다.

이번 KT 무단 소액결제사건 관련 개인정보 유출 신고는 통신 서비스 이용 과정에서 발생할 수 있는 보안 취약점과 이를 악용한 범죄의 심각성을 다시 한번 일깨워주고 있습니다. 개인정보위의 이번 조사는 단순히 특정 기업의 법 위반 여부를 확인하는 것을 넘어, 통신 인프라 전반의 보안 수준을 강화하고, 불법 초소형 기지국과 같은 신종 수법을 이용한 개인정보 침해 사고가 재발하는 것을 근본적으로 방지하는 데 그 목적이 있습니다. 또한, 국민들이 안심하고 통신 서비스를 이용할 수 있도록 기업의 개인정보보호 책임 의식을 고취하고, 유출 피해 발생 시 신속하고 투명한 대응 체계를 확립하는 데 기여하고자 합니다.

4. 세부 추진 내용

개인정보보호위원회는 이번 KT 개인정보 유출 신고 접수 이후, 「개인정보보호법」 제39조의4(개인정보 유출등의 통지 및 신고) 및 관련 고시 등에 의거하여 즉각적인 조사 절차에 착수했습니다. 세부 추진 내용은 다음과 같습니다. 첫째, KT로부터 제출받은 유출 신고서와 관련 자료를 바탕으로 유출된 개인정보의 정확한 범위와 규모, 그리고 유출 시점 및 경위를 면밀히 분석할 예정입니다. 특히, '불법 초소형 기지국' 접속이라는 특이한 유출 원인에 대해 기술적 분석을 포함한 심층 조사를 진행하여, 해당 기지국이 어떻게 통신망에 침투했으며 어떤 방식으로 IMSI 정보를 탈취했는지 규명할 것입니다. 이는 단순히 신고 내용 확인을 넘어, 실제 유출 여부와 그 메커니즘을 과학적으로 밝히는 과정이 될 것입니다.

둘째, KT가 「개인정보보호법」 제29조(안전조치의무)에 따라 개인정보의 안전한 처리를 위한 기술적·관리적·물리적 안전조치를 충분히 이행했는지 여부를 집중적으로 점검합니다. 여기에는 내부 관리 계획 수립, 접속 기록 보관 및 위변조 방지, 암호화 조치, 보안 프로그램 설치 및 갱신, 접근 통제 시스템 구축 등 통신사업자에게 요구되는 높은 수준의 보안 의무 준수 여부가 포함됩니다. 셋째, 피해를 입은 이용자(5,561명)에 대한 KT의 유출 통지 및 피해 구제 조치 현황을 확인하고, 추가적인 피해 확산을 막기 위한 긴급 조치 명령 발동 여부도 검토할 수 있습니다. 이 모든 과정은 개인정보위 조사2과를 중심으로 관련 기술 전문가 및 유관 기관과의 협력을 통해 투명하고 공정하게 진행될 예정이며, 필요시 현장 조사도 병행될 수 있습니다.

5. 기대 효과

이번 개인정보위의 철저한 조사와 후속 조치를 통해 다음과 같은 긍정적인 기대 효과를 예상할 수 있습니다. 첫째, KT를 포함한 통신사업자들의 개인정보보호 책임 의식을 강화하고, 통신 서비스 전반의 보안 수준을 한 단계 높이는 계기가 될 것입니다. 둘째, 불법 초소형 기지국과 같은 신종 해킹 수법에 대한 사회적 경각심을 고취하고, 이에 대한 방어 체계를 구축하는 데 필요한 정책적, 기술적 기반을 마련할 수 있습니다. 셋째, 유출 가능성이 제기된 5,561명의 이용자뿐만 아니라 전체 국민들이 통신 서비스를 더욱 안심하고 이용할 수 있도록 개인정보보호에 대한 신뢰를 회복하는 데 크게 기여할 것입니다. 궁극적으로는 「개인정보보호법」의 실효성을 확보하고, 디지털 환경에서의 개인정보 침해를 예방하는 데 중요한 선례를 남길 것으로 기대됩니다.

6. 향후 계획

개인정보보호위원회는 이번 KT 개인정보 유출 사건에 대한 조사를 신속하게 마무리하고, 그 결과를 투명하게 공개할 예정입니다. 조사 결과 KT의 「개인정보보호법」 위반 사실이 확인될 경우, 법률에 따른 과징금 부과, 시정명령 등 엄중한 행정처분을 내릴 것입니다. 또한, 유사한 불법 초소형 기지국을 이용한 개인정보 탈취 사례가 발생하지 않도록 관련 기술 동향을 지속적으로 모니터링하고, 통신사 및 과학기술정보통신부 등 유관 기관과의 협력을 강화하여 통신망 보안 가이드라인을 보완하는 등 제도 개선 방안을 모색할 계획입니다. 이를 통해 국민의 소중한 개인정보를 더욱 안전하게 보호하고, 디지털 사회의 신뢰를 구축하는 데 지속적으로 노력할 것입니다.