김영섭 KT 대표가 지난 11일 기자 브리핑에 직접 나와 “국민과 고객께 큰 불안을 끼쳐 죄송하다”며 사과했다. 박응서 기자
김영섭 KT 대표가 지난 11일 기자 브리핑에 직접 나와 “국민과 고객께 큰 불안을 끼쳐 죄송하다”며 사과했지만 실제 보고와 발표가 엇갈리면서 책임 회피라는 지적이 잇따르고 있다. 박응서 기자

KT의 소액결제 해킹 피해가 서울 서초구와 동작구, 경기 고양시 일산동구 등으로 추가 확인되면서 피해 규모가 당초 알려진 것보다 훨씬 광범위한 것으로 드러났다. KT는 뒤늦게 공식 사과했지만 은폐와 늑장 대응 논란은 오히려 커지고 있다. 특히 경찰과 국회의 요구에도 불구하고 KT가 정보를 축소해 공개했다는 비판이 거세지고 있다.

21일 국회 과학기술정보방송통신위원회 소속 더불어민주당 황정아 의원실이 KT로부터 제출받아 확보한 자료에 따르면 피해는 처음 알려진 경기 광명·부천·과천, 서울 금천·영등포, 인천 부평을 넘어 서초·동작·일산에서도 발생한 것으로 드러났다. 특히 서초구와 동작구에서는 수백만원대 피해가 집계됐다. 국회와 전문가들은 “KT의 대응이 지나치게 소극적”이라는 지적에, 경찰 수사 범위를 넘어선 사실이 확인되면서 전수조사 요구가 본격화되고 있다.

김영섭 KT 대표는 지난 기자 브리핑에서 “큰 불안과 심려를 끼쳐 죄송하다”며 머리 숙여 사과했다. 그는 “추가 피해 방지를 위해 모든 역량을 투입하고 피해 고객에게 100% 보상하겠다”고 약속했다. 그러나 실제 보고와 발표가 엇갈리면서 책임 회피라는 지적이 잇따르고 있다.

황정아 의원실이 공개한 피해 내역에 따르면 지난달 5일부터 8일까지 나흘 동안 동작·관악·영등포구에서만 15명이 26차례에 걸쳐 962만원 피해를 봤다. 이어 8일과 11일에는 서초구에서 3명이 6차례 227만원의 피해를 입었다. 이후 20일에는 경기 고양시 일산동구, 21일에는 과천에서도 피해 사례가 발생했다.

KT는 4일과 5일에는 피해가 없었다고 보고했으나, 이후 집계에서 해당 기간에도 100건에 가까운 피해가 발생한 사실이 드러났다. 피해자 수는 278명에서 362명으로 늘었고, 피해 건수도 527건에서 764건으로 확대됐다. 피해액 규모 역시 수천만원 수준에 달한다.

업계에서는 피해 확산의 원인으로 KT의 집계 방식에 주목한다. KT가 자동응답전화(ARS) 인증을 중심으로만 피해를 확인하면서, 다른 인증 수단을 통한 피해는 반영되지 않았다는 지적이다. 실제 피해자 중 일부는 PASS 인증이나 카카오톡 무단 로그인 사례를 호소했지만 KT는 이를 피해 현황에 포함하지 않았다.

경기 광명 지역 최초 제보자는 본인이 하지 않은 PASS 인증 기록이 남아 있었다고 증언했다. 또 다른 피해자들은 카카오톡 아이디 무단 로그인 경험을 밝혔다. 그러나 KT는 이 같은 사례를 공식 집계에서 제외하고 있다.

전문가들은 이번 사태가 단순히 ARS를 통한 소액결제 피해에 국한되지 않을 수 있다고 지적한다. 한 보안 전문가는 “IMSI 같은 통신 가입자 정보만으로는 결제가 불가능하다”며 “다른 개인정보가 함께 유출돼 결합됐을 가능성에 대한 조사가 필요하다”고 말했다.

황정아 의원은 “지금이라도 모든 소액결제 고객을 대상으로 전수조사를 실시하고 결제 내역을 직접 통지해야 한다”고 강조했다. 사진은 황정아 의원이 국회에서 질의하고 있는 모습. 황정아 의원실 제공
황정아 의원은 “지금이라도 모든 소액결제 고객을 대상으로 전수조사를 실시하고 결제 내역을 직접 통지해야 한다”고 강조했다. 사진은 황정아 의원이 국회에서 질의하고 있는 모습. 황정아 의원실 제공

국회에서도 비판이 이어졌다. 황정아 의원은 “KT는 피해가 드러날 때마다 사실을 정정하는 식으로 소극적으로 대응했다”며 “지금이라도 모든 소액결제 고객을 대상으로 전수조사를 실시하고 결제 내역을 직접 통지해야 한다”고 강조했다.

KT는 “5일 새벽 비정상 결제 패턴을 차단한 이후 추가 피해는 발생하지 않았다”고 해명했다. 하지만 업계와 시민단체는 “사고 발생 후에야 뒤늦게 차단 조치에 나선 것”이라며 “선제적 보안 대응이 전무했다”는 비판을 제기하고 있다.

특히 개인정보 유출 의혹은 KT가 줄곧 부인해오다 최근 들어 일부 사실을 인정하며 늑장 신고 논란으로 이어졌다. 개인정보보호법은 개인정보 유출이 확인될 경우 72시간 내 신고를 의무화하고 있는데, KT는 경찰의 최초 통보 이후 열흘이 지나서야 개인정보보호위원회에 신고한 것으로 알려졌다.

이 과정에서 과학기술정보통신부 역시 “KT가 정확한 이야기를 하지 않았다”고 지적하며 개보위 조사를 강조했다. 정부와 국회 모두 KT의 초기 대응에 의문을 제기하는 상황이다.

KT 내부 발표와 국회 보고 사이의 차이도 문제로 꼽힌다. 4일과 5일 피해가 없었다는 초기 보고와 달리, 실제로는 100건 가까운 피해가 있었음이 뒤늦게 확인된 점은 은폐 논란을 키웠다. 시민단체와 노조 측은 “사건 축소·은폐가 반복되고 있다”고 지적했다.

피해 확산과 은폐 의혹이 잇따르자 전문가들은 SK텔레콤 유심 해킹 사태와 같은 수준, 혹은 그 이상의 후속 조치가 필요하다고 지적한다. 한 IT정책 전문가는 “KT가 사건의 본질을 흐리고 축소하는 동안 2차 피해 가능성은 더 커졌다”며 “민관합동조사단은 소액결제에만 국한하지 말고 전방위적 조사 결과를 내놔야 한다”고 강조했다.

KT는 뒤늦게 고객 안내와 보상 절차를 발표했지만 신뢰 회복은 쉽지 않아 보인다. 일부 피해자들은 “사고 발생 후에도 제대로 된 안내조차 받지 못했다”며 불만을 토로했다.

이번 사태는 단순한 금전 피해를 넘어 개인정보 보호 체계의 신뢰 문제로 확산되고 있다. 전문가들은 “통신사의 보안망이 허술하다면 향후 금융·인증 서비스 전반에 심각한 위협이 될 수 있다”며 경고했다.

국회 일각에서는 “KT의 반복된 보안 사고와 은폐 의혹을 감안할 때 강력한 제재와 피해 배상 강제 조치가 필요하다”는 목소리도 나온다. 통신사가 공공 인프라를 운영하는 기업이라는 점에서 사회적 책임이 강조되고 있다.

피해 지역이 전국적으로 확대될 가능성이 제기되는 가운데, 수사와 전수조사 요구는 더 거세질 것으로 보인다. KT가 소극적 해명과 사후 대응만 되풀이할 경우, 고객 신뢰와 기업 이미지에 치명적 상처를 입을 수 있다는 전망이 나온다.

[스트레이트뉴스 박응서 기자] 

저작권자 © 스트레이트뉴스 무단전재 및 재배포 금지

키워드

Tags #KT #소액결제 #해킹