서초·동작·일산 등 KT 소액 결제 피해 전국 확산…은폐 사태 심각

ARS만 집계한 KT, 피해 규모 축소 의혹
PASS·카카오톡 인증 피해 제보 잇따라
“SKT 때보다 강력한 제재 필요”

하재인 기자 2025-09-22 00:10:48

KT 소액결제 침해 사태가 당초 알려진 서울 서남권과 경기 일부 지역을 넘어 전국으로 확산하고 있다.

국회 과학기술정보방송통신위원회 소속 황정아 더불어민주당 의원이 KT로부터 제출받은 자료에 따르면, 서울 서초·동작구와 경기 고양시 일산동구 등에서도 동일한 피해 사례가 확인됐다.

이번 사건이 다양한 지역에서 동시다발적으로 발생하면서 개인정보 유출 경로와 서버 해킹 연관성에 대한 우려가 커지고 있다.

당초 소액결제 침해 사태는 인접한 지역에서 불특정 다수를 대상으로 발생한 것처럼 보였다. 범죄자들이 범죄에 악용한 소형 기지국(펨토셀)의 커버리지 범위의 한계 때문이었을 것이란 분석도 있었다.

그러나 용의자 검거 후 이들이 불법 소형 기지국 장비를 차에 싣고 운행한 것이 드러났고 나아가 범죄 발생 지역이 당초 서울 금천구와 경기도 일부 지역을 넘어 서울 서초구·동작구, 경기도 고양시 일산동구 등에서도 발생했다.

구재형 KT 네트워크부문 네트워크기술본부장이 18일 서울 종로구 KT광화문빌딩에서 소액결제 피해 관련 대응 현황을 발표하고 있다. 연합뉴스

이에 더해 KT가 외부 세력으로부터 서버를 공격받은 정황도 추가로 드러나면서 파장은 일파만파로 커지고 있다.

특히 비정상적인 결제 시도를 차단하기 직전인 지난 4일과 5일에도 피해 97건(3048만8000원 규모)이 추가로 확인됐다. 앞서 KT는 해당 기간 피해가 없었다고 국회에 보고했지만 이후 피해자 수를 278명에서 362명으로, 건수는 527건에서 764건으로 각각 수정했다.

KT 피해 현황이 확대되는 것은 자동응답전화(ARS)에 국한해 소극적인 대응을 하기 때문이라는 지적이다. ARS 신호를 탈취해 소액결제에 성공한 사례에만 주목해 피해 현황을 ARS 수신 상황만 따져 집계하고 있기 때문이다.

올해 초 SKT 고객 2,300만명의 가입자 정보가 유출된 데 이어, 케이티 무단 소액결제 사건, 롯데카드 개인 신용정보 유출 사건 등이 전방위적으로 발생하면서 국민 불안은 눈덩이처럼 커지고 있다.

KT는 “한국인터넷진흥원(KISA)에 서버 침해 흔적 네 건과 침해 의심 정황 두 건을 신고했다”고 지난 19일 밝혔다.

이는 앞선 정부 조사 내용과 상반된 결과다. 과학기술정보통신부는 지난 7월 SKT 해킹 사고에 대한 민관합동조사단 조사 결과를 브리핑하며 케이티와 LG유플러스에 대해 “문제가 없는 것으로 확인됐다”고 밝힌 바 있다. 하지만 두달 만에 해킹 의심 정황이 드러난 것이다.

해당 서버에 어떤 정보가 담겨 있는지, 개인정보가 빠져나갔는지 등은 확인되지 않았지만, 서버 해킹으로 개인정보가 대량으로 유출됐고 이 정보가 무단 소액결제 사건에 쓰였다면 파장이 더욱 커질 수밖에 없다.

국민 불안을 키우는 또 다른 요인은 이런 정보 유출 사고가 일부 정보통신 기업에 국한된 것이 아니라는 점이다. 롯데카드 역시 회원 960만명의 약 3분의1에 이르는 297만명의 개인정보가 유출된 것으로 밝혀져 파문이 일고 있다.

올해만 해도 예스24와 지에스(GS)리테일, 공공기관인 에스지아이(SGI)서울보증에서 해킹 사고가 연이어 발생해 서비스가 마비되는 등 피해가 발생했다. 한국 기업의 취약한 보안 역량이 드러나면서 허울뿐인 정보기술(IT) 강국이라는 비판이 나오는 이유다.

해킹 사고와 관련해 기업들의 축소·은폐 의혹도 불안을 키우는 요인이다.

보안 전문가들은 해킹 피해를 막기 위해서는 범정부 차원의 보안 컨트롤타워를 마련해야 한다고 지적하고 있다.

정보 유출 사고가 발생하면 과학기술정보통신부·국방부·개인정보보호위원회·금융위원회 등이 사안에 따라 대응하지만, 앞으로는 해킹 대응을 관할하는 보안 전담 조직이 필요하다는 취지다.

한편에서는 기업이 해킹 피해 정황이 있는데도 자진 신고를 하지 않으면 정부가 신속하게 조사에 착수할 수 없는 현행 제도의 허점을 지적하는 목소리도 나온다.

지금은 해킹 정황 단계에서는 기업의 자진 신고가 없으면 정부의 직권 조사가 불가능하다. 개인정보 유출 정황이 있어야 외부 신고만으로 개인정보보호위원회가 조사할 수 있다.

이처럼 기업과 정부의 허술한 IT 보안 역량과 땜질식 대응으로는 더 이상 국민의 개인정보를 지킬 수 없다는 사실이 다시 한번 드러났다.

사후 '사후약방문'이 아닌, 범정부 차원의 강력한 컨트롤타워 구축과 함께 기업들의 기만적인 정보 은폐를 막을 수 있는 실질적인 제도적 장치 마련이다.

해킹 피해를 자진 신고하지 않는 기업에 대한 정부가 직권 조사를 한층 강화해야 하고 보안 강국으로 거듭나 허울이 아닌 실질적인 IT 강국으로 거듭나는 국가적 대전환이 시급하다.