KT 소액결제 피해 278건·1억7000만원…“SKT·LG유플, 불법 기지국 발견 안돼”

기사승인 2025-09-10 17:46:08 업데이트 2025-09-10 17:58:35

KT 가입자 휴대전화에서 무단 소액결제가 발생하는 신종 범죄 피해가 278건, 약 1억7000만원 규모로 불어났다. 범행 수법으로 추정되는 불법 ‘유령 기지국(펨토셀)’은 KT망에서만 발견됐으며, SK텔레콤과 LG유플러스에서는 접속 정황이 확인되지 않았다.

류제명 과학기술정보통신부 제2차관은 10일 정부서울청사에서 브리핑을 열고 “KT 침해 사고는 이용자 금전 피해가 발생한 중대한 사건으로 판단돼 민관 합동 조사단을 통해 조사를 진행 중”이라고 발표했다. KT 자체 집계 결과 무단 소액결제 피해는 이날 현재 278건, 피해 금액은 약 1억7000만원에 달한다.

경기남부경찰청 사이버수사대는 지난달 27일부터 이달 9일까지 피해 건수를 124건으로 집계했다. 지역별로는 광명 73건(4730만원), 서울 금천 45건(2850만원), 부천소사 6건(480만원) 등이다. 지난 5일 74건에서 나흘 만에 51건이 늘어나는 등 피해가 빠르게 확산됐다.

9월10일 서울 지하철역에 설치된 소형 KT 이동통신 기기 모습. 연합뉴스 제공

조사 결과 범행 수법으로 추정되는 불법 ‘유령 기지국(펨토셀)’이 KT 통신망에서만 발견됐다. 정부는 전날 밤 9시 SK텔레콤과 LG유플러스에도 불법 기지국 접속 여부 점검을 요구했고, 두 회사는 이날 오전 긴급점검회의에서 “불법 기지국은 발견되지 않았다”고 보고했다.

펨토셀은 원래 가정이나 사무실에서 통신 품질을 높이는 소형 기지국이지만, 보안 관리가 허술해 해커들이 개인정보를 빼내는 통로로 악용한 것으로 추정된다. 통신업계 관계자는 “펨토셀은 전 세계적으로 쓰이는 장비지만, 이를 통한 소액결제 탈취 가능성이나 불법 기지국 접속 정황과 실제 피해가 어떻게 연결되는지는 추가 조사가 필요하다”고 말했다.

피해는 경기 광명시, 서울 금천구, 경기 부천시에 집중됐지만 인천 부평, 경기 과천, 서울 영등포 등에서도 유사 사례가 보고돼 추가 확산 가능성이 크다. 피해자들은 모두 KT 가입자였으며, 일부는 KT 전산망을 활용하는 알뜰폰 이용자였다.

범행은 주로 새벽 시간대에 발생했으며, 모바일 상품권 구매나 교통카드 충전 등으로 수십만원씩 무단 결제되는 방식이었다. 피해자들의 공통점은 특정 지역 거주, KT 통신사 이용, 새벽 시간대 피해 발생 외에는 없는 것으로 파악됐다.

정부는 이번 사건을 4월 SK텔레콤 사이버 침해 사고에 이은 중대한 보안 위협으로 보고 대응에 나섰다. 류 차관은 “국가 배후 해킹 정황과 소액결제 피해가 연이어 발생하는 상황을 엄중히 인식하고 있다”며 “이용자 피해를 최소화하고 통신 서비스 신뢰 회복에 힘쓰겠다”고 강조했다.

경기남부청 사이버수사과는 광명에서 발생한 61건을 직접 수사 중이며, 나머지 사건도 순차적으로 이첩받아 병합 수사할 계획이다. 경찰 관계자는 “추가 피해 신고가 이어지고 있어 수사 범위를 확대하고 있다”며 “KT와 협력해 피해자 보호와 범인 검거에 최선을 다하겠다”고 말했다.

KT의 초기 대응을 둘러싼 비판도 나온다. 경찰은 지난 1~2일 KT 본사와 지점에 사건 발생 사실을 통보했지만, KT 관계자들은 “(보안이) 뚫릴 수 없다”는 취지의 답변만 반복한 것으로 알려졌다. 사건 발생을 통보받고도 별다른 조치를 하지 않아 피해를 키웠다는 지적이다.

앞서 북한 또는 중국 배후 해커로 추정되는 ‘김수키’ 조직이 KT와 LG유플러스 시스템에 침투했다는 해외 보안 매체 프랙(Phrack) 보도가 나오면서 이번 사고와의 연관성도 거론됐다. 이에 대해 류 차관은 “현 단계에서 김수키와의 연관성을 단정하기는 어렵다”며 “사업자 동의 하에 사실조사를 진행 중”이라고 설명했다.

개인정보보호위원회도 KT의 개인정보 유출 의혹 조사에 착수했다. 개인정보위 관계자는 “KT는 유출 신고를 하지 않았으나 로그 기록 등을 확인해 인지 시점을 함께 조사하고 있다”며 “긴급하게 조사에 착수한 만큼 조사 인원 규모는 내부에서 조율 중”이라고 말했다. 개인정보위는 민원이 접수되면 필요 시 직권으로 조사를 개시할 수 있다.

개인정보 보호법상 개인정보위는 법 위반에 대한 신고를 받거나 민원이 접수된 경우 정부 주체의 보호를 위해 필요하다고 판단하면 조사가 가능하다.

KT 관계자는 “피해 사실을 아직 인지하지 못한 고객이 있을 수 있어 개별 연락을 통해 확인 중이며, 확인된 건은 전액 보상 처리해 청구가 이뤄지지 않도록 조치하고 있다”고 말했다.

한편, 피해자들은 카카오톡 오픈채팅방을 개설해 피해 상황과 환불 절차 등을 공유하며 자체적인 대응에 나서고 있다.