“무단 소액결제, 파장 확대”…KT, 피해자 368명·2억4000만원 확인

KT의 무단 소액결제 사고가 IT업계와 통신시장 전반에서 심각성이 부각되고 있다. 통신사 직접 과금 결제(DCB)와 소액결제 모두를 대상으로 한 대규모 데이터 분석 끝에, KT는 피해 규모가 예상보다 더 크고 복잡하다는 점을 공식 발표했다. 업계 전문가들은 이번 사고가 통신망 보안체계와 결제 인증 시스템 관리 능력의 변곡점이 될 수밖에 없다는 해석을 내놓고 있다.

KT는 17일, 자체적 데이터 전수조사를 통해 불법 초소형 기지국(펨토셀) ID 16개가 추가로 발견됐다고 밝혔으며, 이에 따라 피해자 6명이 늘어 전체 피해자가 368명, 추가 피해액 319만원이 더해져 전체 피해규모가 2억4000만원에 달한다고 설명했다. KT는 올해 8월 1일부터 9월 10일까지 이뤄진 국내 모든 통신과금대행 결제내역 약 1억5000만건을 대조, 기존보다 한층 강화된 분석을 진행했다. 이 과정에서 소액결제 8400만건, DCB 결제 6300만건, 그리고 4조300억건에 달하는 휴대폰-기지국 간 접속 이력을 전면 재조사하는 방식이 적용됐다.

사고의 핵심 배경인 펨토셀은 건물 내부 통신 품질 개선용 초소형 기지국을 뜻하지만, 악용될 시 이용자 인증 우회를 통한 비인가 결제에 사용될 수 있다는 점이 드러났다. 이번 분석에서는 과거 KT가 ARS(자동응답시스템) 본인 인증만을 추적했던 한계를 넘어 문자, 패스 인증 방식까지 결제 경로를 확장 조사했다.

특히 KT는 불법 펨토셀 ID에 접속한 고객이 2만2200여 명에 달한다고 추가 집계했으나, 실제 무단 소액결제가 발생한 이용자는 총 368명으로 분석됐다. 이 중 16개 불법 펨토셀 ID중 무단 결제가 발생한 것은 1개였으며, 피해 발생 시점은 8월 5일로 기존과 동일하게 유지됐다. 9월 5일 이후 추가 피해는 없는 것으로 확인됐다.

현 시점에서 KT는 개인정보보호위원회를 비롯한 관계 기관에 보완 신고를 완료하고, 피해자에 대한 보호 조치를 병행 중이라고 밝혔다. 기술·제도적 대책 마련, 결제 인증 시스템 강화, 고객 안내 및 재발 방지에 적극적으로 나서겠다는 방침 역시 밝혔다.

해외에서도 통신망 결제 인증 관련 이슈가 반복돼 온 가운데, 전문가들은 국내 최초의 초대형 무단 소액결제 사고가 향후 이 분야 규제와 보안기술, 통신사 자체 컴플라이언스 정책 개편의 계기가 될 것으로 보고 있다. 특히 AI 기반 이상거래 탐지와 로컬 인증 고도화, 현장 점검 강화 등의 대응이 단기적 대책으로 제기된다.

업계 관계자는 “대규모 사고 재발을 막기 위해 통신망·결제 플랫폼 전반의 보안 체계 혁신이 필수”라며 “기존 구조에서 기술적·제도적 사각지대까지 아우르는 통합적 대응이 마련될지 주목된다”고 했다. 산업계는 피해 최소화 및 신뢰 회복, 규제 개선 논의의 진전을 예의주시하고 있다.