KT 소액결제 피해 278건·1억7000만원…정부 "중대한 침해사고"(종합)

류제명 과기정통부 2차관 "국가배후 조직 해킹 정황, 소액 결제 피해 등 엄중한 상황"

KT 미등록 기지국 통해 소액 결제 피해, 전국 단위 조사 결과 다른 불법 기지국은 없어

유심 교체, 복제폰 사용 정황은 없어...ARS 인증 통해 소액결제 진행

SKT, LGU+에도 초소형 기지국 접속 제한 조치

류제명 과학기술정보통신부 제2차관이 10일 정부서울청사에서 KT 무단 소액결제 침해사고 관련 브리핑을 하고 있다. [사진=연합뉴스]

KT 고객을 대상으로 한 무단 소액결제 피해가 현재까지 278건, 약 1억7000만원에 이르는 것으로 집계됐다. 과학기술정보통신부는 이번 사고를 ‘중대한 침해사고’로 규정하고 민관합동조사단을 꾸려 정밀 조사를 진행 중이라고 밝혔다.

10일 류제명 과기정통부 제2차관은 정부서울청사에서 KT 소액결제 스미싱 피해와 관련해 브리핑을 열고 이 같은 피해 규모를 밝히며 "최근 국가배후 조직의 해킹 정황, 휴대전화 소액결제 피해 등 사건이 잇따라 발생한 상황을 엄중히 보고 있다”고 밝혔다. 

정부는 지난 8일 오후 7시 16분 KT 측에서 침해사고 신고를 접수한 직후 현장에 출동해 상황을 파악했다. KT는 5일 새벽부터 이상 트래픽을 차단했지만 개별 단말기의 스미싱 감염으로 판단해 신고하지 않았다고 설명했다. 이후 피해자 통화기록 분석에서 미등록 기지국 접속이 확인되면서 침해사고로 분류해 신고에 나섰다. 

정부는 피해 확산을 막기 위해 KT에 전국 단위 불법 기지국 여부 조사를 지시했다. KT는 9일 오후 전체 조사 결과 다른 불법 기지국은 없다고 보고했다. SK텔레콤과 LG유플러스에도 같은 조치를 요구했으며 두 회사는 불법 기지국이 발견되지 않았다고 보고했다.

신규 초소형 기지국의 통신망 접속은 전면 제한됐으며 KT가 확보한 이상 트래픽 정보는 통신 3사와 공유돼 정밀 조사에 활용될 예정이다. 

현재 KT에 접수된 직접 민원은 177건, 피해액은 7782만원이다. KT 자체 분석 결과까지 합치면 총 278건, 1억7000만원 규모의 금전적 피해가 발생한 것으로 집계됐다. KT는 피해 고객에게 해당 금액을 청구하지 않기로 했다.

류 차관은 “민관합동조사단을 통해 불법 기지국이 어떻게 통신망에 접속했는지, 어떤 방식으로 무단 결제가 이뤄졌는지, 어떤 정보가 탈취됐는지를 면밀히 규명하겠다”며 “조사 결과를 바탕으로 근본적 보안 대책을 마련해 조만간 발표하겠다”고 밝혔다.

이번 사건은 해커가 초소형 기지국을 활용해 이용자들의 정상 트래픽을 가로채고, 패스(PASS)나 ARS 인증을 이용해 소액결제를 진행한 것으로 추정된다. 불법 기지국을 차량 등에 설치해 이동하면서 범행했을 가능성도 제기돼 피해 범위와 규모가 더 확산될 수 있다는 우려가 나온다.

KT 내부 조사 결과 유심 교체나 복제폰 사용 정황은 확인되지 않았다. 부정 결제는 대부분 환급이 가능한 상품권 사이트에서 발생했으며, 인증 수단은 상당수가 ARS 방식이었다. 그러나 이번 사건이 직접적인 금전 피해로 이어졌다는 점에서 사회적 파장이 커지고 있다.

앞서 과기정통부는 8일 침해사고 접수 직후 현장을 점검했다. 당시 KT는 무단 소액결제의 원인 중 하나로 불법 초소형 기지국의 통신망 접속을 지목했다. 이에 과기정통부는 불법 기지국이 다른 지역에서도 접속할 가능성을 확인하고, 즉각적인 차단 조치를 요구했다.

KT는 이에 따라 9일 오전 9시부터 신규 초소형 기지국의 통신망 접속을 전면 차단했다. SKT와 LG유플러스도 자체 점검에 나서 조만간 접속 제한 조치 시행 여부를 결정할 전망이다.

이번 사건에는 불법 기지국(False Base Station·FBS)이 활용됐을 가능성도 있다. FBS는 정상 기지국을 모방해 스마트폰을 연결하게 만든 뒤 개인정보를 탈취하거나 보안을 무력화하는 장치다. 피해 단말기가 연결되면 ‘SMS 블래스터’라는 장비를 통해 피싱 메시지를 대량 발송해 통신사의 보안 체계를 우회한다.

해외에서도 영국·두바이·방콕 등에서 은행이나 보험사를 사칭하는 범죄에 활용된 바 있다. 다만 이번 경기도 광명·부천, 서울 금천 일대에서 발생한 사건이 실제로 초소형 기지국 때문인지는 정밀 조사가 필요하다.

보안 관리 사각지대도 지적된다. 업계에서는 대규모 통신망은 상대적으로 관리가 체계적이지만 소액결제와 같은 작은 시스템은 관리가 느슨해 취약할 수 있다고 본다. 특히 패스나 카카오톡 계정까지 동시에 조작된 정황이 확인되면서 통신 인증 체계 전반에 대한 신뢰성 우려가 커지고 있다.

이기혁 중앙대 융합보안학과 교수는 “KT 소액결제 사고는 단순한 기술적 해킹 문제가 아닌 부서 간 협업 부재와 전사적 보안 관리 체계의 허술함이 낳은 결과"라면서 "앞으로 모든 결제 서비스 관련 부서가 가상의 공격 시나리오를 공유하고 협업을 통해 보안 체계를 재정립해야 한다"고 강조했다. 

배경훈 과기정통부 장관은 전날 간담회 직후 “조만간 조사 결과를 종합해 발표하겠다”며 “근본적인 대책을 마련할 것”이라고 말했다. 그는 또 “AI와 클라우드 등 미래 산업은 보안과 함께 가야 한다”며 “가장 기초적인 통신망조차 안전하지 못하다면 심각한 문제”라고 지적했다.