[FETV=신동현 기자] KT도 1300억원 규모의 과징금 철퇴를 맞을까. 이번 무단소액결제 사건을 통해 KT는 기지국 관리 소홀과 늑장 대응 문제, 고객의 금전적 피해 발생과 개인정보 유출 문제 등이 도마에 오를 것으로 보인다. 앞서 개인정보보호위윈회는 정보 관리 부실과 신고 지연 등으로 SK텔레콤에 역대 최대 규모의 과징금을 부과했다.

◇수도권 강타한 소액결제 피해…KT, 결국 한 명에게 무너졌다

KT 무단 소액결제 사건은 2025년 8월 5일 첫 피해가 발생한 이후 수도권을 중심으로 확산됐다. 초기에는 하루 한 자릿수에 불과했지만 광명·금천·과천·부천 등 특정 지역에서 피해가 집중적으로 나타났다. 공격자들은 티머니 충전이나 상품권 구매 등 현금화가 쉬운 방식을 사용했으며 일반 물품 구매에 활용된 사례는 확인되지 않았다.

공식 피해 신고는 8월 26일부터 접수됐다. 9월 5일까지 14명이 800만원 이상의 피해를 입었는데 대부분 새벽 시간대 카카오톡 계정이 로그아웃되고 동시에 모바일 상품권 결제가 완료되는 동일한 패턴을 보였다. 이후 피해는 광명·부천·인천 부평·서울 영등포 등으로 확산됐으며 9월 5일에는 광명에서만 43명이 피해를 신고했다. 경찰 조사에 따르면 8월 27일부터 닷새간 62차례에 걸쳐 1700만원 이상이 무단 결제된 것으로 드러났다.

8월 하순 들어 피해 건수는 급격히 늘었다. 21일과 26일에는 하루 30건 안팎이 보고됐고 27일에는 하루 106건으로 폭증했다. 경찰은 9월 1~2일 KT에 이상 징후를 통보했으나 KT는 스미싱 가능성이 높다며 적극적으로 대응하지 않았다. 결국 9월 5일 새벽 비정상 트래픽을 탐지해 차단했지만 단말 스미싱으로 오판하면서 침해사고 24시간 내 신고 의무를 지키지 못했다는 비판을 받았다.

KT는 사건이 언론을 통해 확산된 9월 8일에야 한국인터넷진흥원(KISA)에 ‘사이버 침해 사실’을 신고했다. 정부는 이튿날 민관합동조사단을 구성하고 원인 조사에 착수했다. 과기정통부는 KT 측의 발표자료를 통해 9월 10일 무단소액결제 발생 건수는 527건, 피해액 1억7000만원으로 공식 발표했다. KT도 불법 초소형 기지국(펨토셀)을 통한 국제이동가입자식별번호(IMSI) 유출 정황을 인정했다. 

9월 11일 김영섭 KT 대표는 기자회견을 열고 공식 사과했다. 그는 피해 고객 100% 보상과 무료 유심 교체 지원을 약속했으며 비정상 결제 자동 차단, 본인 인증 강화 등 재발 방지 대책 등을 제시했다. 또한 번호 이동 고객을 위한 위약금 면제 방안도 검토한다고 밝혔다.

한편 경찰은 이번 사건의 배후로 지목된 중국 국적 40대 남성 2명을 17일 인천공항서 검거했다. A씨는 불법 소형 기지국(펨토셀) 장비를 승합차에 싣고 다니며 피해자 휴대전화 신호를 가로채는 방식으로 모바일 상품권 결제, 교통카드 충전 등 무단 소액결제를 시도한 혐의를 받고 인천국제공항에서 체포됐다.

또 다른 공범 B씨는 영등포에서 붙잡혔으며 부정 결제된 금액을 현금화한 혐의가 적용됐다. 경찰은 이들이 사용한 장비의 출처, 개인정보 취득 경위, 인증 절차 우회 방식 등을 집중 조사 중이며 구속영장을 신청할 방침이다.

◇1348억 과징금 철퇴 맞은 SK텔레콤…KT 과징금 척도 되나

그렇다면 KT는 어느 정도 규모의 과징금 철퇴를 맞을까. KT에 따르면 무단 소액결제로 피해를 입은 가입자는 278명, 피해액은 약 1억7000만 원에 달한다. IMSI 유출 가능성이 있는 고객은 5561명, 불법 기지국 신호를 수신한 고객은 약 1만9000명으로 집계됐으며 소액결제 관련 고객 문의도 9만 건을 넘어섰다.

이번 사태를 통해 KT의 관리 부실도 곳곳에서 드러났다. 전국에 설치된 15만7000대의 초소형 기지국(펨토셀)은 전문 인력이 아닌 일반인이나 직원이 직접 설치·회수하는 경우가 많아 폐기가 제대로 이뤄지지 않고 중고 거래 사이트에서 유통되는 사례까지 나타났다는 점이 지적됐다. 

펨토셀 기지국의 유선 인터넷 연결 구간은 보안망이 취약했으나 이를 감시·관리하는 체계도 부재했다. 해킹 탐지 시스템이 미흡해 이상 신호나 피해 의심 행위를 실시간으로 파악하지 못했고 사고 초동 대응 역시 늦었다.

또 IMSI 등 개인정보 유출 논란 대응도 늦었으며 실물 해킹 장비 확보나 정밀 조사가 제대로 이뤄지지 않았다. 피해 규모와 경위 공개에 소극적으로 임했고 협력사·내부자의 보안 취약점 악용 가능성에 대비하지 못한 점도 지적됐다.

SK텔레콤의 사례로 보면 SK텔레콤은 해킹 사건으로 총 2696만건의 개인정보가 유출됐다. 전화번호, 국제이동가입자식별번호(IMSI), 단말기 식별번호(IMEI) 등 25종에 이르는 핵심 정보가 포함됐다. 개인정보위원회는 ▲인터넷·관리망·사내망을 분리하지 않고 불필요한 접속을 허용한 점 ▲2022년 침입 징후 확인에도 점검을 하지 않은 점 ▲계정·비밀번호를 암호화하지 않고 관리하며 인증 절차 없이 개인정보를 조회할 수 있게 둔 점 ▲보안 패치 미적용과 유심 인증키 평문 저장과 ▲정보 유출 신고 지연 등을 들며 SK텔레콤에 역대 최대 규모인 1348억 원의 과징금을 부과했다.

KT도 SK텔레콤과 마찬가지로 미비한 정보 관리 체계와 한발 늦은 신고와 적법치 못한 대응이 도마에 오를 것으로 보인다. 또 SK텔레콤과는 다르게 고객들이 금전적 피해를 입었다. 다만 정보유출 규모는 SK텔레콤에 비해 현재까지는 적은 것을 감안하면 SK텔레콤만큼은 아니더라도 그에 못지 않은 대규모 과징금이 부과될 것으로 보인다.

실적에도 영향을 끼칠 것으로 보인다. SK텔레콤은 위약금 면제와 유심교체비용 등 2500억원 규모의 비용이 실적에 반영됐다. 이로 인해 2분기 영업이익은 전년 대비 37%, 당기순이익은 전년 대비 73%가 줄었고 다음 실적에도 영향을 끼칠 것이라고 말했다. KT도 유심교체와 함께 금전적 피해 보상 등과 함께 추후 번호 이동에 따른 고객 이탈에 따른 위약금 면제가 실적에 반영되면 상당한 타격을 있을 전망이다.