'심 스와핑' 의심 피해를 본 고객에게 통신사가 기지국 정보를 제공해야 한다는 개인정보분쟁조정위원회(분쟁위)의 조정안이 나왔다. 심 스와핑은 유심 정보를 복제해 자산을 탈취하는 신종 해킹으로, 지난해 말과 올해 초 KT 이용자를 중심으로 피해가 발생했다. 본지에서 소개된 최초 피해자 30대 직장인 A씨는 해킹 직후부터 기지국 정보를 알려달라고 통신사에 요청했지만, KT는 제공이 어렵다고 답변해왔다.
4일 한국일보 취재를 종합하면, 분쟁위는 지난달 28일 "KT는 A씨에게 휴대폰 기지국 접속정보를 제공해야 한다"는 조정안을 내놨다. 열람할 수 있는 자료는 심 스와핑이 발생한 것으로 추정되는 지난해 12월 23일과 24일 새벽 기록으로 한정했다.
A씨는 피해 직후 '문자 수신 기지국 정보'를 달라고 KT에 요청했다. 은행이나 가상화폐 거래소의 본인 인증 문자를 해커 휴대폰으로 수신하는 게 심 스와핑 범죄의 핵심이기 때문에, 기지국 정보를 알면 범행 사실을 입증하는 데 도움이 되기 때문이다. 심 스와핑을 시도하는 해커는 피해자 유심 정보를 탈취해 복제 유심 칩을 만든 뒤, 이를 다른 휴대폰에 장착한다. 통신사는 정상적인 기기변경으로 인식하고, 이후엔 본인 인증 문자가 해커 휴대폰으로 수신돼 보안이 무력화된다. A씨는 해킹이 발생한 새벽 시간대에 자신의 거주지와 다른 곳에서 문자를 수신한 기록이 있다면 범죄가 입증된다고 봤다.
(▶관련기사: 갑자기 먹통 된 휴대폰, 가상화폐가 사라졌다)
하지만 KT는 그간 A씨의 요청을 거절했다. A씨의 문자 수신 기록은 제3자 문자 발신 정보에 해당돼 타인의 개인정보가 포함돼 있다는 게 이유였다. KT는 또 발신 기록만을 기준으로 기지국 정보를 수집하기에 A씨가 원하는 수신 기지국 정보는 보유하고 있지 않다고 주장했다. A씨는 이에 올해 1월 분쟁위에 개인정보분쟁조정을 신청했다.
분쟁위는 최근 A씨 손을 들어줬다. 기지국 통신 정보는 A씨의 개인정보에 해당하기에 KT가 공개해야 한다는 것이다. 분쟁위는 KT의 개인정보처리방침에는 발신과 수신 기지국 기록을 구분해 관리한다는 내용이 없고, 휴대폰은 통화나 문자를 송수신하는 상태가 아니더라도 기지국과 교신하기 때문에 교신 정보를 A씨에게 공개해야 한다고 결론 내렸다.
다만 조정안이 나왔다고 A씨가 곧바로 기지국 자료를 볼 수 있는 건 아니다. 조정안은 양측이 분쟁위 결론에 동의해야 성립하기 때문이다. KT가 동의하지 않는다면 A씨는 민사소송을 제기해야 한다. A씨는 "상식 선에서 조정안이 나왔다고 생각해 동의서를 제출했다"고 말했다. KT 관계자는 "아직 내부 검토 중"이라며 "경찰 수사에 대해선 성실하게 협조하고 있다"고 밝혔다.