KT 소액결제 해킹 사건과 대응책

SKT 정보유출에 이어 최근 KT 소액결제가 무단 발생하여 충격을 주고 있습니다. 피해자들도 모르는 상황에서 모바일 상품권이 결제되거나 알 수 없는 소액결제가 이뤄졌는데요. 사건의 발생부터 피해 규모, 개인의 대처 방법, 보상 절차 등에 대해 알기 쉽게 정리해 드리겠습니다.  

 

KT 소액결제 사건 개요 및 피해 현황

이번 사건은 8월 27일부터 9월 5일 사이에 집중적으로 발생했는데요. 경기도 광명 지역에서 처음으로 발견됐습니다. 이후 서울 금천, 부천, 과천, 영등포 등 수도권 중심지로 확산됐는데요. 피해자 대부분이 자신도 모르는 사이에 소액결제가 이뤄졌다는 점에서 혼란을 겪고 있습니다.

 

KT에 따르면 현재까지 278건의 무단 소액결제가 확인됐고, 총 피해 금액은 1억 7천여 만원에 달한다고 합니다. 여기에 약 5,500여 명의 고객 개인정보 유출 가능성이 더해져 불안감을 키우고 있습니다.

 

KT 소액결제 해킹 방식과 원인 분석

이번 사건에서 가장 눈에 띄는 점은, 바로 유령 기지국(펨토셀)을 이용한 해킹 수법입니다. 정식 등록되지 않은 기지국 ID를 사용해 스마트폰을 유령 기지국에 접속시키고, 이때 사용자 인증을 위해 수신하는 SMS 인증 코드 등을 가로챈 것으로 추정됩니다. 즉, 이를 바탕으로 모바일 소액결제를 실행한 것이죠. 실제 몇몇 피해자들은 결제 문자조차 아예 못 받았다고 증언합니다. 

▶ 유령 기지국(펨토셀)이란?
정식으로 등록되지 않은 장비임에도 일반 기지국처럼 전파를 송출하기 때문에 사용자의 단말기가 정상 기지국으로 인식하여 연결됩니다. 이에 따라 해커는 사용자와 통신사간 트래픽을 중간에서 가로채거나 SMS 인증 등을 유출할 수 있으며, 최근에는 이 장비도 초소형화, 저비용화 되어 일반인도 쉽게 구입할 수 있습니다. 

 

이번 사건은 유령 기지국이 국내 처음 해킹에 활용된 사례로, 단순 스미싱이나 악성 앱이 아닌 통신망 자체를 겨냥한 고도의 수법이라는 점에서 큰 충격을 주고 있습니다. 피해 규모도 약 8천만 원에서 최대 1억 7천만 원으로 추산됩니다.     

 

KT와 정부의 긴급 대응책

KT는 고객들에게 해당 결제 금액을 청구하지 않겠다고 공식 입장을 밝혔고, 피해 고객 전원에게 USIM 교체 및 보안 서비스 무상 제공을 실시하고 있습니다. 이외에도 초소형 기지국 접속을 차단하고, ASR 인증 패턴 강화, 결제 시 PASS인증만 허용하는 등의 대응방안을 내놓았습니다. 하지만, 그럼에도 왜 이런 일이 벌어졌는지에 대해 충분한 해명이 부족하다는 비판이 존재하며, 사용자 상당수가 KT의 기지국 관리 미흡과 인증 시스템의 취약점을 문제 삼고 있습니다. 

 

정부 또한 과학기술정보통신부, 한국인터넷진흥원(KISA), 개인정보보호위원회 등과 합동 조사단을 꾸려 긴급 점검 및 특별 브리핑을 실시하고, 소액결제 한도 축소 권고 및 의심 거래 차단 조치를 강화했습니다. 

 

KT 소액결제 피해 대응방법 및 보상절차

이번 사건은 KT 사용자뿐 아니라 모든 통신사 이용자에게 경각심을 주는 계기가 되고 있는데요. 지금 당장 아래 사항을 확인해 보시고, 만약 피해가 의심된다면 즉각적인 조치를 취하시기 바랍니다.

• 스마트폰 이상 징후 감지 - 갑작스런 신호 끊김, 인증문자 지연, 위치정보 오류 등이 발생될 경우 유령 기지국 접속 의심 
• 최근 소액결제 내역 확인 - 본인이 모른는 결제 내역이 있다면 증빙자료 확보 후 경찰서에 신고, 접수
• KT 또는 결제 대행사를 통해 소액결제 환불/취소 요청하고, KT 고객센터에 보상 신청
• 통신사 고객센터를 통해 소액결제 한도 축소 및 차단 신청 
• USIM 교체 - 피해 당사자가 아니더라도 예방 차원에서 교체 권유
• 본인인증 수단 강화 - 2단계 인증이나 OTP 등을 적용해서 인증 절차 강화

이번 KT 소액결제 해킹 사건은 유령 기지국, ARS 인증의 헛점, 소액결제 한도 관리 미흡 등 여러 요소가 결합하여 발생된 역대급 보안 사고입니다. 개인의 빠른 대응과 예방조치로 더 이상의 피해가 발생되지 않기를 바랍니다.