KT가 운영하는 불법 이동기지국(소위 펨토셀·femtocell)을 통한 해킹으로 대규모 개인정보 유출과 무단 소액결제 피해가 추가로 발생한 사실이 확인됐다. 이번 사태로 약 2만명이 신호 영향권에 노출됐고, 이 가운데 300여명이 약 2억4000만원 규모의 소액결제 피해를 본 것으로 드러났다.

경제정의실천시민연합(경실련)은 22일 성명을 내고 “KT 해킹 사태는 단순한 보안사고가 아니라 국가 기간망 신뢰를 무너뜨린 중대한 사건”이라며 철저한 진상조사와 강력한 제재를 촉구했다.

◇ 3개월 늑장 신고… 은폐 논란

KT는 지난 6월경 피해 정황을 인지했음에도 9월 18일에서야 한국인터넷진흥원(KISA)에 관련 사실을 신고했다. 경실련은 “정부 또한 초동 대응과 피해자 보호에 실패했다”며 “KT와 정부 모두 관리·감독 의무를 방기했다”고 비판했다.

불법 펨토셀 해킹은 ▲이용자의 휴대전화가 정상 기지국 대신 불법 기지국에 접속 ▲국제이동가입자식별정보(IMSI)·단말기식별번호(IMEI)·전화번호 등이 유출 ▲해커가 이를 활용해 SMS·ARS 인증을 위조 ▲소액결제로 이어지는 방식으로 진행됐다.

특히 KT 내부에 소액결제 이상거래탐지시스템(FDS)이 없어 해커 접속을 차단하지 못한 점이 피해 확산의 원인으로 지목됐다.

경실련은 “IPsec 미지원 구형 장비를 장기간 운용하고, 자가 설치를 허용한 채 관리·통제를 소홀히 한 결과 예견 가능한 위험이 방치됐다”고 지적했다.

소액결제 구조 역시 문제로 꼽힌다. SMS·ARS 단일 인증만으로 결제가 가능해 단말 식별자 탈취만으로도 피해가 발생했다. 금융권에서는 이미 금지된 방식이다. 여기에 소액결제 한도를 기존 30만원에서 100만원으로 상향한 조치가 피해 규모를 키웠다는 비판도 제기된다.

경실련은 이번 사태 재발 방지를 위해 △전국 펨토셀 전수조사 및 불법 장비 원격 차단 △구형 장비 전량 퇴역 △소액결제 다중인증 의무화 △AI 기반 FDS 도입 및 이통3사 간 위협정보 실시간 공유 △신규 회선의 일정 기간 소액결제 제한 △피해금 전액 선보상·후구상 원칙 확립 등을 제안했다.

아울러 “피해 발생 즉시 신고와 72시간 내 공시를 법제화하고, 이를 위반한 통신사에는 매출 연동 과징금·영업정지·경영진 형사처벌을 포함한 최고 수준의 제재가 필요하다”고 강조했다.