광명·금천 이어 영등포까지 확산, 인증 체계 취약성 논란

KT 가입자 다수가 자신도 모르는 사이 소액결제 피해를 본 사실이 드러나며 파문이 확산되고 있다. 8일까지 확인된 피해를 보면 경기 광명·서울 금천 지역에서 시작돼 영등포까지 번졌고, 결제 과정에서 본인 인증 체계가 뚫린 정황까지 확인됐다. 금융소비자 보호 장치가 제대로 작동하지 못했다는 비판이 제기된다.

▲ KT 광화문 빌딩 [연합뉴스 제공]

◆ 피해는 어떻게 발생했나?

경찰에 따르면 피해는 지난달 27일부터 이달 5일까지 집중 발생했다. KT 이용자 휴대전화에서 수십만원대 소액결제가 무단 이뤄졌으며, 경기 광명시와 서울 금천구에서만 74건, 4천580만원 규모가 신고됐다. 8일에는 영등포에서도 49만5천원 무단 결제가 시도됐으나 피해자가 즉시 취소해 손실은 면했다.

피해는 대부분 새벽 시간대에 발생했고, 상품권 구매·교통카드 충전 등 눈에 띄기 어려운 거래 형태였다. 피해자들의 휴대전화 기종·개통 대리점은 제각각이었고, 악성 앱 설치 흔적도 없어 범행 수법은 여전히 오리무중이다.

◆ 인증 체계는 어떻게 뚫렸나?

일부 피해자들은 본인 인증 앱 ‘패스(PASS)’가 통제되거나 카카오톡 계정이 강제로 로그아웃된 경험을 진술했다. 한 피해자의 PASS 기록에는 새벽 시간대 인증 내역이 남아 있었지만, 실제 휴대전화에는 인증 문자가 도착하지 않았다.

보안 전문가들은 복제폰, 중계기 해킹, 중간자 공격(MITM) 가능성을 제기한다. 외국계 보안회사 임원은 “사용자와 앱 간 통신 과정에서 정보가 탈취됐을 수 있다”고 분석했고, 다른 전문가는 “ARS 인증을 통한 우회 가능성도 있다”고 지적했다. 이런 정황은 통신·인증 체계 전반의 허점을 드러냈다는 평가다.

◆ 2차 피해 우려는 없나?

사이버 보안업체 서프샤크의 토마스 스타뮬리스 CSO는 “네트워크 장치 취약점이 가장 유력한 원인”이라며 “해커가 네트워크에 침투하면 신용카드 번호와 CVV 등 결제 정보까지 노출될 수 있다”고 경고했다.

특히 사용자의 와이파이 공유기나 KT 네트워크 장비에 보안 패치가 적용되지 않은 경우가 많아 공격에 취약했을 가능성이 크다. 그는 “비밀번호를 초기 설정 그대로 두거나 아예 설정하지 않은 경우도 있었을 수 있다”며 관리 부주의를 지적했다.

서울YMCA시민중계실은 “KT와 정부가 해킹 사실을 투명하게 공개하고, 소액결제 중단 기능을 전 고객에게 제공해야 한다”며 민관 합동조사단 구성을 촉구했다.

◆ KT와 당국은 어떤 대응을 했나?

KT는 상품권 업종 결제 한도를 기존 100만원에서 10만원으로 일시 축소하고, 비정상 결제 탐지 시스템을 강화했다. 또 피해 지역 가입자 중 이상 거래가 확인된 고객에게 개별 연락해 상담을 지원하고 있다.

경기남부경찰청 사이버수사대는 광명·금천 사건을 병합 수사하며, 통신사·결제대행업체·상품 판매업체 자료를 확보해 범행 경로를 추적 중이다. 경찰은 중계기 해킹 등 다양한 가능성을 열어두고 휴대전화 포렌식도 진행하고 있다.

☑️ 요약
KT 가입자 대상 소액결제 해킹 피해가 광명·금천에서 시작해 영등포까지 번졌다. 새벽 시간대 상품권·교통카드 충전 방식으로 무단 결제가 이뤄졌으며, 인증 체계가 뚫린 정황도 확인됐다. 전문가들은 카드 정보 유출 등 2차 피해 가능성을 경고했고, 경찰과 KT는 수사와 대응에 나섰지만 금융소비자 보호 제도 보완이 시급하다는 지적이 커지고 있다.