KT 소액결제 해킹, '허위 신고' 의혹…업계선 "매출 줄어" 다중인증 반대

2025-09-10 박광하 기자

서울 지역 한 빌딩에 설치된 KT 로고. (사진=박광하 기자)

[뉴스웍스=박광하 기자] 지난달 말부터 수도권 KT 가입자를 대상으로 새벽 시간대 소액결제가 무단으로 이뤄지는 피해가 동시다발적으로 발생했다. 이런 가운데 KT가 허위 신고를 했다는 지적이 국회에서 제기됐다. 피해를 막을 근본적 대책으로 다중인증(MFA) 도입이 언급되고 있지만, 관련 업계에서는 이에 대한 수용에 부정적이다.

KT 가입자들의 휴대전화 소액결제 피해가 발생한 것으로 알려진 건 8월 27일부터다. 경찰 발표에 따르면 집계된 피해 규모는 124건, 약 8060만원이다. 피해가 새벽 시간대에 집중 발생했다. 피해자들은 모바일 상품권 구매나 교통카드 충전 명목으로 수십만원이 빠져나갔다는 문자를 뒤늦게 받았다. 카카오톡 앱이 자동으로 로그아웃되는 현상도 동반됐다. 일부 피해자는 휴대전화를 보고 있는 상황에서도 패스 앱 인증이 이뤄져 결제가 완료됐지만 결제 문자조차 받지 못했다고 증언했다.

피해자 모르게 소액결제 한도가 상향조정된 사례도 확인됐다. 한 언론 보도에 따르면 평소 5만원으로 설정해놨던 소액결제 한도가 100만원으로 올라가는 피해 사례가 접수되기도 했다.

KT는 8일 오후 7시 16분 한국인터넷진흥원(KISA)에 침해사고를 신고했다. 이는 국내 이동통신사 중 지난 4월 SK텔레콤에 이어 사이버 침해사고를 자진 신고한 것으로, 올해 두 번째 사례다. 과학기술정보통신부는 침해사고 신고 접수 후 8일 밤 10시 50분 KT 서초구 우면동 사옥을 방문해 현장을 점검했다.

과기부는 9일 최우혁 정보보호네트워크정책관을 단장으로 하는 민관합동조사단을 구성해 현장조사 등 신속한 원인조사에 착수했다. 조사단은 과기부 2명, KISA 4명, 민간위원 6명으로 구성됐다. 정보보호 분야 민간 전문가가 참여하는 자문단도 별도로 구성해 사고 관련 기술적·정책적 자문을 받을 예정이다.

범행 수법에 대해선 여전히 밝혀진 게 없다. 초기에는 지역 기반 악성코드가 숨겨진 앱을 통한 스미싱 가능성이 제기됐으나, 현재까지 관련 정황은 확인되지 않았다. 복제폰, 중계기 해킹 등 다양한 가능성이 언급되고 있다.

현장조사에서 KT는 고객 무단 소액결제 침해사고 원인의 하나로 불법 초소형 기지국의 통신망 접속을 언급했다. 과기부는 불법 기지국이 다른 장소에서도 접속할 수 있다는 가능성을 확인하고 9일 새벽 1시 KT에 불법 기지국이 통신망에 접근하지 못하도록 즉각적인 대책을 요구했다. 이에 따라 KT는 9일 오전 9시부터 신규 초소형 기지국의 통신망 접속을 전면 제한했다. 하지만 KT는 기존에 운영 중인 기지국 중 해커가 사용한 불법 초소형 기지국이나 다른 불법 초소형 기지국이 존재하지 않았다고 확인했다.

그런데 KT가 소액결제 침해사고 신고 당시 "이상징후가 없었다"고 허위 신고했다는 지적이 제기됐다. 황정아 국회 과학기술정보방송통신위원회 더불어민주당 의원(대전유성을)이 과기부로부터 제출받은 KT의 사이버 침해 사실 신고서에 따르면 KT는 8일 사고 발생 시간에 대해 '확인 불가', 피해 사실 인지 전 이상 징후는 '없었음'으로 신고했다.

KT는 소액결제 한도를 기존 100만원에서 10만원으로 축소하고, 피해금액이 납부되지 않도록 조치에 나섰다. KT는 5일 새벽부터 비정상적인 소액결제 시도를 차단했으며, 이후 현재까지 추가 발생이 확인되지 않고 있다고 설명했다. KT는 소액결제 대응센터를 24시간 운영해 전화 상담이 가능하도록 했다.

정보통신기술(ICT) 업계에서는 통신사들의 소액결제 시 다중인증(MFA) 도입이 필요하다는 의견이 제기되고 있다. MFA는 한 가지 인증 수단 외에 추가 인증 수단을 요구하는 보안 방식으로, 지식 요소(비밀번호), 소유 요소(휴대전화, 보안 토큰), 생체 요소(지문, 얼굴 인식) 중 둘 이상을 조합해 사용한다. 악의적인 공격자가 한 종류의 인증 방식을 뚫더라도 다른 인증 수단으로 보안을 유지할 수 있어 해킹 피해를 크게 줄일 수 있다.

KT를 비롯한 통신사들은 현재까지 소액결제 시 MFA를 적용하지 않은 상태다. 한 통신사 관계자는 "MFA를 일괄 적용하도록 강제할 수 없다"면서 "인증 과정이 복잡하면 불편해서 매출이 즉각 떨어진다"고 말했다.