해명에도 의혹만 더 커지는 KT 소액결제 피해

코어망 접속, ARS 인증 등 금융 피해 발생 과정 논란
개인정보 유출 없이 소액 결제 피해 가능한지 의문

김종우 기자 kjongwoo@busan.com ｜ 2025-09-11 11:15:55

가

서울 한 KT 대리점 모습. 연합뉴스

KT 가입자의 소액 결제 피해와 관련 해명이 나올수록 의혹이 커지고 있다. KT는 ‘유령 기지국’(불법 초소형 기지국)이 자사 망에 접속했다고 밝혔지만 핵심망(코어망)까지 뚫린 이유를 설명하지 못하고 있다. 유심(USIM) 정보 등 개인정보 유출은 없었다고 밝힌 상황에서 금융 피해가 발생한 과정도 해명되지 않아 소비자들의 우려가 커지는 모습이다.

KT는 지난 10일 관련 브리핑에서 유령 기지국의 자사 통신망 접속을 인정하면서도 핵심망 접속이 어떻게 가능했는지는 설명하지 못했다. 유령 기지국을 통해 KT망에 접속했다고 해도 핵심망까지 들어가기 위해선 각종 인증 절차를 거쳐야 한다. 정부 관계자는 이와 관련 “그런 의문점들에 대해 물어봤는데 (KT에서) 원인 분석이나 메커니즘에 대한 설명이 안 되고 있다”고 밝혔다. 정부 관계자는 “어떻게 인증되지 않은 단말이 (KT) 코어망에 접속 가능했는지, 여러 키값이나 인증 절차들이 있는데 어떻게 소액 결제까지 가능했는지에 대해 조사가 철저하게 돼 봐야 될 것”고 지적했다.

KT는 가입자식별정보(IMSI)나 유심(USIM) 등 개인정보 유출도 없었다는 입장이다. KT 관계자는 “IMSI와 유심 유출 관련된 내용은 전혀 없는 상황”이라고 설명했다. 이 때문에 개인정보 유출 없이 금융 결제가 이뤄질 수 있는지에 대해 의문이 제기되고 있다. 소액 결제 과정에서 본인 확인 등 인증 절차가 진행되기 때문에 단순히 기지국 정보만으로 결제가 이뤄지기는 어렵다는 게 전문가들의 분석이다.

정부와 KT는 소액 결제 피해가 ARS(자동응답) 전화 인증에 집중된 사실에 주목하고 있다. KT 관계자는 “ARS 인증에 문제가 됐던 부분이 있다”고 밝혔다. 그러나 다른 인증 방식에 대해선 “조사 중”이라고 밝혔다. 일부 피해자들이 소액 결제가 이뤄진 새벽 휴대전화 카카오톡에서 로그아웃됐다고 증언한 데 대해서도 “조사단에서 확인할 예정”이라고 설명했다.

해커가 유령 기지국을 어떤 방식으로 운용했는지도 밝혀져야 할 대목이다. 일각에서는 범인이 차량에 유령 기지국 장비를 싣고 다니며 네트워크를 가로채는 수법을 활용했을 가능성을 제기한다. 실제로 경기 광명과 서울 금천구 등 인접 지역에 피해가 집중돼 특정 지역에서 유령 기지국을 운영했을 가능성이 제기된다. 최근 해외에서도 유사 사례가 보고된 바 있다. 지난 4월 일본에서는 차량에 가짜 기지국을 설치해 번화가에서 피싱 메시지를 살포한 사건이 있었고, 같은 달 필리핀 마닐라에서는 중국인이 차량에 ‘IMSI 캐처’를 설치해 운용하다 현지 경찰에 붙잡혔다.

이처럼 해커의 범행 방식과 KT의 보안 수준에 대해 각종 의혹이 제기되면서 피해자들의 불안도 커지고 있다. 경찰은 피해자들의 휴대전화가 무단 소액 결제뿐 아니라 악성 앱, 코드 등에 감염된 것이 아닌지 파악하기 위한 포렌식도 진행하고 있다.