(보도참고) 개인정보위, 'KT 무단 소액결제사건' 관련 개인정보 유출신고(2차) 추가 접수

다음은 대한민국 정부 부처에서 발표한 보도자료를 바탕으로 작성된 상세하고 포괄적인 요약입니다.

1. 핵심 요약

개인정보보호위원회(이하 개인정보위)는 2025년 9월 18일, 'KT 무단 소액결제사건'과 관련하여 ㈜케이티(이하 KT)로부터 두 번째 개인정보 유출 신고를 추가로 접수했습니다. 이번 2차 신고에 따르면, KT는 앞서 9월 11일 1차 신고에서 밝힌 5,561명을 포함하여 현재까지 총 20,030명(알뜰폰 이용자 포함)의 가입자식별번호(IMSI), 기기식별번호(IMEI), 휴대폰 번호가 유출된 정황을 확인했다고 보고했습니다. 개인정보위는 이미 9월 10일부터 해당 사건에 대한 조사에 착수하여 유출 경위 및 피해 규모, KT의 안전조치 의무 준수 여부 등을 확인 중에 있으며, 법 위반 발견 시 관련 법령에 따라 엄정하게 처분할 계획입니다.

2. 주요 내용

• KT의 2차 개인정보 유출 신고 추가 접수: ㈜케이티(KT)는 2025년 9월 18일 오후 1시, 개인정보보호위원회에 'KT 무단 소액결제사건'과 관련된 개인정보 유출 신고(2차)를 추가로 제출했습니다. 이는 개인정보위가 해당 사건에 대한 조사를 진행하던 중 접수된 중요한 정보이며, 사건의 심각성을 더하는 요인으로 작용하고 있습니다.

• 누적 유출 피해 규모 및 정보 유형 확대: 이번 2차 신고를 통해 KT는 현재까지 총 20,030명의 이용자(알뜰폰 가입자 포함)에게서 개인정보 유출 정황이 확인되었다고 밝혔습니다. 유출된 것으로 추정되는 정보는 가입자식별번호(IMSI), 기기식별번호(IMEI), 그리고 휴대폰 번호입니다. 가입자식별번호(IMSI)는 이동통신 가입자를 식별하는 고유 번호이며, 기기식별번호(IMEI)는 휴대폰 단말기를 식별하는 고유 번호로, 이 정보들이 유출될 경우 스팸, 보이스피싱 등 2차 피해로 이어질 가능성이 매우 높습니다.

• 1차 개인정보 유출 신고 내용: 앞서 KT는 2025년 9월 11일, 5,561명의 가입자식별번호(IMSI) 유출 정황을 확인하고 개인정보위에 1차 신고를 한 바 있습니다. 이번 2차 신고는 1차 신고 내용을 포함하여 피해 규모가 더욱 확대된 사실을 공식적으로 보고한 것으로, 초기 예상보다 피해 범위가 넓어졌음을 시사합니다.

• 개인정보보호위원회의 즉각적인 조사 착수: 개인정보위는 KT의 무단 소액결제사건이 불거지자마자, 2025년 9월 10일부터 해당 사건에 대한 본격적인 조사에 착수했습니다. 이는 국민의 개인정보 보호를 위한 위원회의 신속하고 적극적인 대응 의지를 보여주는 조치로, 피해 확산을 막고 진상을 규명하기 위한 초기 대응이 중요함을 강조합니다.

• 조사 범위 및 중점 확인 사항: 개인정보위는 현재 진행 중인 조사를 통해 구체적인 개인정보 유출 경위, 즉 어떤 경로와 방식으로 정보가 유출되었는지 면밀히 파악할 예정입니다. 또한, 실제 피해 규모를 정확히 산정하고, KT가 개인정보보호법상 요구되는 기술적·관리적 안전조치 의무를 제대로 준수했는지 여부를 중점적으로 확인할 계획입니다. 이 과정에서 KT의 내부 시스템 보안 취약점 여부가 핵심 쟁점이 될 것입니다.

• 법 위반 시 엄정한 처분 예고: 개인정보위는 현재 진행 중인 조사와 추가 신고 내용을 바탕으로 KT의 법 위반 사실이 발견될 경우, 개인정보보호법 등 관련 법령에 따라 행정처분(과징금, 과태료, 시정명령 등)을 내릴 예정입니다. 이는 개인정보 유출에 대한 기업의 책임을 묻고 재발 방지를 위한 강력한 메시지를 전달하는 동시에, 정보 주체의 권익을 보호하려는 의지를 표명하는 것입니다.

• 유출된 개인정보 유형 설명: 이번 사건에서 유출된 주요 정보는 가입자식별번호(IMSI), 기기식별번호(IMEI), 휴대폰 번호입니다. 가입자식별번호(IMSI, International Mobile Subscriber Identity)는 이동통신망에서 특정 가입자를 식별하는 고유한 15자리 번호이며, 기기식별번호(IMEI, International Mobile Equipment Identity)는 휴대폰 단말기 자체를 식별하는 고유한 15자리 번호입니다. 이 두 정보와 휴대폰 번호가 결합될 경우, 개인의 통신 활동과 기기 사용 패턴을 추적하거나, 스팸, 보이스피싱, 명의 도용 등 심각한 2차 피해에 악용될 가능성이 커집니다.

3. 배경 및 목적

이번 개인정보 유출 신고 및 개인정보위의 조사는 'KT 무단 소액결제사건'이라는 중대한 사안을 배경으로 합니다. 이 사건은 KT 서비스 이용자들의 동의나 인지 없이 소액결제가 이루어졌다는 의혹에서 시작되었으며, 이러한 무단 결제가 가능했던 원인 중 하나로 개인정보 유출 가능성이 강력하게 제기되었습니다. 개인정보보호위원회는 국민의 개인정보를 보호하고 정보 주체의 권리를 보장하는 최고 독립 감독기관으로서, 이러한 중대한 개인정보 침해 사고에 대해 철저히 진상을 규명하고 책임 소재를 가려내야 할 필요성을 느꼈습니다. 특히, 통신 서비스는 국민 생활에 필수적인 인프라로서, 관련 기업의 개인정보 관리 소홀은 사회 전반의 불안감을 증폭시킬 수 있습니다.

따라서 개인정보위의 주된 목적은 첫째, 개인정보 유출의 정확한 경위와 규모를 파악하여 추가적인 피해 확산을 막고, 둘째, KT가 개인정보보호법에 명시된 기술적·관리적 안전조치 의무를 제대로 이행했는지 확인하여 법 위반 여부를 판단하는 것입니다. 궁극적으로는 이번 사건을 통해 개인정보 처리자의 책임감을 강화하고, 유사한 사건의 재발을 방지하며, 국민이 안심하고 정보통신 서비스를 이용할 수 있는 환경을 조성하는 데 있습니다. 이는 디지털 시대에 개인정보의 중요성이 더욱 커지는 상황에서, 정보 주체의 권익을 보호하고 사회 전반의 개인정보 보호 수준을 향상시키기 위한 필수적인 과정이며, 개인정보 침해에 대한 경각심을 고취하는 중요한 계기가 될 것입니다.

4. 세부 추진 내용

개인정보위는 이번 'KT 무단 소액결제사건' 관련 개인정보 유출에 대해 2025년 9월 10일부터 조사2과를 중심으로 전담 조사팀을 구성하여 심층적인 조사를 진행하고 있습니다. 세부 추진 내용은 다음과 같습니다. 먼저, KT로부터 제출된 1차 및 2차 신고 내용을 바탕으로 유출된 개인정보의 종류(가입자식별번호, 기기식별번호, 휴대폰 번호 등)와 유출된 이용자의 정확한 규모(현재까지 누적 20,030명)를 확인하고 있습니다. 특히, 가입자식별번호(IMSI)는 이동통신망에서 가입자를 식별하는 고유한 번호이며, 기기식별번호(IMEI)는 휴대폰 단말기 자체를 식별하는 고유 번호로, 이 정보들이 어떻게 유출되었는지 그 경로를 집중적으로 분석할 예정입니다. 이를 위해 KT의 시스템 로그 기록, 데이터베이스 접근 기록, 보안 시스템 운영 현황 등을 면밀히 검토할 것입니다.

또한, KT의 개인정보 처리 시스템에 대한 기술적·관리적 안전조치 이행 여부를 철저히 점검합니다. 이는 개인정보보호법 제29조에 따라 개인정보 처리자가 개인정보의 안전한 보관을 위해 취해야 할 암호화, 접근 통제, 보안 프로그램 설치 및 운영, 정기적인 보안 감사 등의 의무를 제대로 이행했는지 확인하는 과정입니다. 조사팀은 KT의 내부 시스템 로그 기록, 보안 감사 자료, 관련 담당자 인터뷰 등을 통해 유출 발생 시점의 보안 상태와 대응 과정을 상세히 들여다볼 것입니다. 이와 함께, 유출된 정보가 무단 소액결제와 어떤 연관성을 가지는지, 그리고 유출된 정보로 인해 발생할 수 있는 2차 피해(예: 스팸, 보이스피싱, 명의 도용 등)의 가능성을 종합적으로 분석하여 피해 확산을 방지하기 위한 조치도 강구할 예정입니다. 필요시 외부 보안 전문가의 자문을 받아 기술적인 분석의 전문성을 높일 계획입니다.

5. 기대 효과

이번 개인정보위의 철저한 조사와 후속 조치를 통해 여러 긍정적인 기대 효과를 얻을 수 있습니다. 첫째, 피해를 입은 KT 이용자(알뜰폰 포함) 20,030명은 자신의 개인정보 유출 사실을 명확히 인지하고, 향후 발생할 수 있는 2차 피해에 대한 예방 조치를 취할 수 있게 됩니다. 또한, 개인정보위의 법적 처분을 통해 피해 구제 및 보상 절차에 대한 근거가 마련될 수 있어 정보 주체의 권익이 실질적으로 보호될 것으로 기대됩니다. 둘째, KT와 같은 대규모 개인정보 처리 기업들은 이번 사건을 계기로 개인정보보호의 중요성을 다시 한번 인식하고, 보안 시스템 및 관리 체계를 전반적으로 재점검하고 강화하는 계기가 될 것입니다. 이는 기업의 사회적 책임과 윤리 의식을 높이는 데 기여할 것입니다. 셋째, 개인정보위의 엄정한 법 집행은 다른 기업들에게도 경각심을 주어, 국내 전반의 개인정보보호 수준을 향상시키고 유사한 유출 사고를 예방하는 데 중요한 역할을 할 것입니다. 궁극적으로는 국민들이 자신의 개인정보가 안전하게 관리되고 있다는 신뢰를 가질 수 있도록 하여, 디지털 사회에서 안심하고 서비스를 이용할 수 있는 기반을 다지는 데 기여할 것입니다.

6. 향후 계획

개인정보위는 현재 진행 중인 'KT 무단 소액결제사건' 관련 개인정보 유출 조사에 박차를 가하여, KT가 제출한 2차 신고 내용을 포함한 모든 유출 정황과 관련 자료를 면밀히 분석할 계획입니다. 조사가 완료되는 대로 개인정보보호법 등 관련 법령 위반 여부를 최종적으로 판단하고, 위반 사실이 확인될 경우 법과 원칙에 따라 과징금 부과, 시정명령 등 엄정한 행정처분을 내릴 예정입니다. 이와 더불어, 유출된 개인정보로 인한 2차 피해를 예방하기 위한 조치들을 KT에 권고하거나 명령할 수 있으며, 피해 이용자들에게 필요한 정보 제공 및 대응 방안을 안내할 것입니다. 장기적으로는 이번 사건을 통해 드러난 문제점을 바탕으로 통신사 및 관련 업계의 개인정보보호 실태를 전반적으로 점검하고, 필요한 경우 관련 법규나 가이드라인을 보완하여 유사 사례의 재발을 근본적으로 방지하기 위한 제도 개선 방안을 모색할 계획입니다. 개인정보위는 국민의 소중한 개인정보가 안전하게 보호될 수 있도록 지속적으로 노력할 것입니다.