[一问一答]“KT 5561名客户IMSI疑似外泄…将更换USIM卡”

by Roh Kyungjo

by Lee Myeonghwan

Published 11 Sep.2025 18:03(KST)

Updated 11 Sep.2025 22:39(KST)

open/close

“非法微型基站疑为曾用于KT现有网络的设备”
“仅凭IMSI泄露难以完成小额支付”

KT近期就发生的小额支付受害事件，确认到通过非法超小型基站导致客户信息外泄的迹象。调查结果显示，本次事件中共有5561名客户的国际移动用户识别码（IMSI）有可能被对外泄露。KT一方面将为存在IMSI泄露可能性的客户更换用户识别卡（USIM），另一方面也决定日后制定补偿方案。

KT于11日下午在首尔钟路区大楼召开与未经授权小额支付相关的记者会，公布了上述内容。以下是KT相关负责人信息安全室室长Hwang Taeseon、网络技术本部长Gu Jaehyeong等人的一问一答。

11日下午，KT在首尔钟路区办公大楼举行擅自小额支付相关记者会的现场。KT提供

-仅凭IMSI值泄露难以造成小额支付受害。是否存在其他数据泄露迹象？为何确信不存在克隆手机？

▲可以将IMSI视为为进行非法基站位置登记而发出的某种“消息”。由于归属用户服务器（HSS）没有被黑客入侵的记录，因此非法克隆所必需的终端识别号（IMEI）或认证密钥并未暴露。

小额支付的结构是，用户输入出生日期等个人信息后，再通过自动语音应答（ARS）进行认证。在本次事故中，除IMSI之外，并无其他信息外泄的迹象。这部分有待今后由相关机构和警方调查查明。

-有观点提出，KT内部也有可能安装了非法超小型基站。是否已经确认这些超小型基站的实物？

▲并未确认所谓“在KT内部”这一点。可以推断（作案人）是对通信有相当了解的人士，但是否为内部人员尚未确认。只是我们并未亲眼见到该超小型基站的实物，而是通过在对遭遇小额支付受害客户的计费明细中，查看基站ID并进行拦截的过程中推断出来的。

-9月1日已接到警方调查机关的通报，却没有通过官网或短信通知客户，原因是什么？有说法称，调查机关从KT方面得到“此类事件不可能发生”之类的回复，这是否属实？

▲即便接到调查机关的通报，一般也不会同步提供个人信息，我们通常是通过进入客服中心的客户声音（VOC）来进行分析。对于案件集中发生一事，本应提高警惕，虽然不算常见，但当时被判断为短信诈骗（Smishing）案例。随着受害案例不断汇总，我们认为形势严重，于是于本月5日采取了临时限制措施。未能更早一点作出应对，给客户带来不安，我们在此表示诚挚的歉意。

-是否存在出于犯罪目的，接入KT内部网络窃取信息的可能性？

▲我们正在核查是否存在出于犯罪目的侵入网络的迹象。KT内部团队与韩国互联网振兴院（KISA）的专家正在共同进行检查。

-是否有为希望转到其他通信运营商的客户免除违约金的计划？

▲将纳入整体补偿方案一并进行研究，并将从客户立场出发积极审慎地加以考虑。

-既然未能拦截非法超小型基站，那么网络管理是如何进行的？

▲我们推测，对方以某种方式接入了KT网络。检索受害客户接入过的设备ID后发现，该设备并未登记在KT的管理系统中。此后我们对全部超小型基站进行了全面排查。相关非法基站推测为曾经连接过KT网络的设备。

-为进行更换，目前持有的USIM数量大致有多少？能否立即为受害客户更换？

▲对于有连接非法基站记录的1.9万名客户，我们的USIM库存是充足的。希望更换的客户，可通过到访KT Plaza、快递、上门更换等多种方式办理。目前USIM库存超过100万张。

-今年7月曾表示将在5年内投入约1万亿韩元以强化安全。是否有因本次事态而追加投入的计划？

▲这一点还需要再作考虑。5年内投入1万亿韩元本身已是相当庞大的金额，这类大规模投资也不可能立即完成。我们将其视为强化长期安全体系的举措，并会以本次事态为契机，重新调整投资的优先顺序。