“KT 소액결제 해킹, 문자·패스 인증도 조사”…피해 확산 우려

KT의 무단 소액결제 해킹 수법이 음성 자동응답(ARS)뿐 아니라 문자 인증, 패스 앱 인증 등 인증 방식 전반으로 확산되고 있다. 24일 국회 과학기술정보방송통신위원회 청문회에서 김영섭 KT 대표는 "362명의 피해 고객 764건 중 문자 인증 사례가 일부 포함돼 있다"며, "문자 이외에도 패스 앱 인증 피해 가능성에 대비해 추가 조사를 진행 중"이라고 밝혔다. 이는 기존에 ARS 인증 피해 고객만 전수조사한 것과 달리, 우회된 인증 절차 자체가 다양해졌음을 의미한다.

KT 측은 무단 결제 사고의 피해 범위를 신속히 좁히기 위해 ARS 인증 방식을 중심으로 우선 조사했다고 설명했다. 그러나, 국회에서는 이 같은 접근이 사태 축소 시도라는 비판이 이어졌다. 김 대표는 "피해 패턴이 ARS에 집중돼 있었고, 빠르게 범위를 확정하는 데 초점을 뒀다"고 해명하면서도 현재 문자·패스 앱 등 다양한 인증 경로 피해 분석에 나섰다고 덧붙였다.

특히 KT 내부 보안 통제와 초기 대응도 도마에 올랐다. 사고 초기 KT는 소액결제 피해를 스미싱(문자사기)으로 잘못 진단해, 언론 보도를 통해서야 실제 상황을 인지했던 것으로 드러났다. 황태선 KT 정보보안 실장은 "피해가 특정 지역에 집중돼 스미싱 유형과 유사하다고 판단했다"고 밝혔다.

이처럼 인증 우회 방식이 다양해진 것은 통신사 본인인증 인프라 전체의 취약점을 노린 정황으로 해석된다. 국내외에서는 통신 기반 결제 시스템을 노린 해킹 시도가 증가하는 만큼, 인증 절차별 보안 강화와 모니터링 체계가 시급하다는 지적이 나온다.

또한 피해자 구제 및 보상 범위도 확정되지 않았다. 현재 2만여 명의 정보 유출 가입자뿐 아니라, 전체 고객까지 위약금 면제 등 대책 확대가 필요하다는 주장이 제기되고 있다. 김 대표는 "피해 조사가 최종 마무리된 뒤, 범위와 정도에 따라 추가적인 지원 방안을 검토하겠다"고 답했다.

전문가들은 패스 등 신종 인증 수단의 보안 취약점 점검과, 결제 시스템 내 다단계 인증 적용이 보편화될 필요성을 강조하고 있다. 산업계는 이번 사건을 계기로 이동통신 기반 인증 체계의 근본적 점검과 규제 정책 재정비 여부에 주목하고 있다.