KT에서 최근 발생한 무단 소액결제 해킹 피해 건수가 278건, 피해액은 약 1억7천만 원에 달한다.

반복되는 보안 취약성에 여론의 비판이 거세지는 가운데, 이미 5년 전부터 유사한 피해 사례 제보가 있어 이번 사태가 ‘예고된 참사’였다는 지적이 나온다.

“KT는 절대 뚫리지 않는다고 했지만, 나는 2020년에 이미 당했습니다.”

광주광역시에 거주하는 이상돈(가명)씨는 2020년 6월 27일, 보이스 문자 해킹을 당했다. 그는 즉시 사이버 범죄로 신고하고 KT 소액결제 한도를 0으로 설정했지만, 몇 분 뒤 50만 원이 순식간에 빠져나갔다. KT는 “범인이 잡혀야 보상할 수 있다”는 입장을 고수했고, 경찰은 “해외 서버를 통한 해킹이라 국내외 위치 확인만 가능하다”고 했다.

피해는 인정됐지만, 보상은 없었다. 결국 김 씨는 본인이 결제 금액을 부담했다. “소액결제를 막았음에도 피해가 발생했다는 건 KT 보안이 허술했다는 반증입니다. 그때도, 지금도 KT는 책임을 회피하고 있습니다.”

올해 7월 초에도 KT 보이스피싱 피해 사례가 있었던 것으로 확인된다. 전라도 완도에서 중학교 교사로 재직 중인 오상남(가명)씨는 환경부 과태료 문자에 속아 ‘민원24시’ 사이트로 접속했고, 카카오톡 간편 인증을 거친 뒤 스마트폰이 먹통이 됐다. 한 시간 후, 10만 원씩 5번의 소액결제가 발생했다. KT에 신고하자 “한도 0 설정 또는 원천 차단”을 안내받았지만, 이후 저녁 5시경 다시 50만 원이 결제됐다. 해커가 스마트폰을 재해킹해 한도 제한을 해제한 것으로 추정된다.

갑작스러운 결제 알림에 당황한 오씨는 KT측에 항의했지만, 이와 관련해 피해보상은 할 수 없다며 책임을 회피했다. 오씨는 “보이싱 피싱이 발생하면 통신사는 중간 차단기능을 활용하여 피싱을 방지하는 역할을 해야하지만, KT는 이 의무를 다하지 않고 있다”라며 “2차 범죄가 다분한 소액결제 한도 변경 또는 원천차단기능 옵션만 안내하는 것은 소비자 범죄 보호 책임없이 회사의 이익을 극대화하려는 의도로 밖에 보이지 않는다”고 비판했다.

KT는 최근 자사 고객들을 상대로 소액결제 피해가 이어지자 한국인터넷진흥원(KISA)에 침해 사고를 신고한 바 있다. 이후 과기정통부는 정보보호네트워크정책관을 단장으로 하는 민관합동조사단을 꾸렸다.

KT는 피해를 입은 이용자들을 상대로 피해 금액을 전액 청구하지 않기로 했지만, 이미 피해를 입고도 보상받지 못한 이들은 여전히 존재한다.

반복된 해킹 사례…“구조적 보안 허점 드러나”

조사단은 이번 불법 초소형 기지국을 활용한 범행일 가능성에 주목하고 있다. 해커가 불법 초소형 기지국을 통해 KT의 이동통신망에 접속했다는 것이다. 불법 초소형 기지국은 소규모 셀 또는 ‘펨토셀’이라고 불리는 기기로 추정된다. 이는 가정이나 소규모 사무실에 설치해 이동통신 서비스를 제공하는 용도로 쓰인다.

문제는 단순한 해킹이 아니다. 앞서 과거에 피해를 입은 이용자들은 공통적으로 ‘소액결제 한도를 0’으로 설정했음에도 피해가 발생했다고 주장했다. 전문가들은 “KT의 시스템이 기술적으로나 운영적으로 허술하다는 걸 보여주는 대목”이라며 “이번 사태는 통신사의 구조적 보안 관리 실패를 드러낸 사건”이라고 지적했다.