KT 소액결제 해킹 사태가 최소 8월 초부터 발생한 것으로 알려지며 ‘늦장대응’ 지적을 받고 있다. 이에 KT는 사전에 확인‧조치하지 못한 점에 대해 사과했다.

17일 국회 과학기술정보방송통신위원회 소속 황정아 의원(더불어민주당)이 KT로부터 제출받은 자료에 따르면 KT가 파악한 지난달 5일부터 이달 3일까지 피해 고객은 278명, 결제 건수는 총 527건이다. 해당 사건의 언론 보도가 알려지기 한 달 전이나 앞서 피해가 발생한 것으로 조사됐다.

KT 피해고객 일자별 결제 건수를 보면 8월5일 2건, 8월6일 6건 등 8월20일까지는 한 자릿수에 머물렀으나 8월 21일과 26일에는 각각 26건, 27일에는 106건으로 급증했다.

황 의원은 “최소 8월5일부터 이상 신호가 있었는데 KT의 축소‧은폐 시도로 피해가 막대해진 것”이라며 “과학기술정보통신부가 즉각적인 전수조사를 통해 피해 상황을 국민들께 소상히 보고하고 축소‧은폐 행위를 발본색원해야 한다”고 주장했다. 이어 “막대한 경제적 제재를 가해야 재발 방지가 가능할 것으로 보인다”고 강조했다. 

개인정보보호위원회도 ‘개인정보 안전관리 체계 강화 방안’을 통해 개인정보 유출 사고가 반복되는 기업은 과징금 가중 등 엄정한 제재를 가하겠다는 입장이다. 또 중장기적으로는 징벌적 과징금 등 제재 처분의 실효성 제고를 위한 검토를 추진한다.

다만 해당 방안의 법률 개정사항은 2025년 연내 개정안을 마련해 내년 상반기 국회에 제출할 예정이다. 이어 중장기 검토가 필요한 사항은 이해관계자 의견수렴 후 내년까지 개정안 마련을 추진한다.

이에 개인정보위가 이번 KT 소액결제 해킹 사태의 조사 결과, 개인정보가 유출됐다고 하더라도 가중 처벌은 받지 않을 가능성이 크다.

KT 관계자는 “지난 9월1일 수사 문의를 받은 후 구체적 피해 명단 확인과 원인 파악에 최소한의 시간이 필요하다”며 “당시 스미싱 또는 악성앱이 원인으로 추정됐으며 사전에 확인‧조치하지 못한 점에 대해 송구하다”고 밝혔다.

특히 KT가 1일 경찰로부터 소액결제 피해 분석을 요청받았으나 제대로 대응하지 않았다는 비판도 나온다. 실제로 경찰 통보 직후인 2일과 3일 피해건수만 109건에 달했기에 KT의 축소‧은폐 시도가 피해를 더 키웠다는 지적이다.

KT는 지난 5일 이후 소액결제 피해자는 없다는 입장이다.

KT 관계자는 “이상 결제 패턴 확인 후 고객 보호 및 피해 최소화를 위해 이달 5일 새벽 비정상 결제를 차단해 이후 발생한 건은 없다”며 “고객의소리(VOC) 분석 등을 통해 불법 초소형 기지국 ID를 추적‧발견하는 등 사건 규명을 위해 최선을 다하고 있는 중”이라고 말했다. 그러면서 “추가 확인되는 사항은 신속하고 투명하게 밝히겠다”라고 덧붙였다.

여기에 더해 KT 고객뿐만 아니라 SK텔레콤, LG유플러스 가입자도 애플 콘텐츠 결제 피해를 입은 것을 나타났다. 해당 사건은 소액결제 사건과는 다른 유형의 피해로 보인다.

KT 관계자는 “애플 소액 결제됐다는 고객 있었으나 확인결과 KT 소액결제 피해 대상자가 아니었으며, 애플 결제의 경우 ARS 인증을 이용하지 않았다”고 말했다.