“KT 소액결제 해킹 사태”…과기정통부, 위약금·조치 재점검에 나선다

불법 소형 기지국(펨토셀)을 악용한 KT 소액결제 해킹 사태가 이동통신 및 핀테크 산업 전반의 신뢰를 흔들고 있다. 과학기술정보통신부는 KT의 무단 소액결제 피해 조사와 위약금 문제에서, “어떠한 봐주기도 없으며 모든 절차를 한 점 의혹 없이 엄격하게 처리하겠다”고 21일 국정감사에서 공식 천명했다. 이번 사태는 소형 기지국 기반의 인증 취약점이 악용된 첫 대규모 사례로, 약 2만2000명 수준의 피해자가 접수된 가운데 실제적으로 2000명 이상이 서비스 가입 해지를 요청한 것으로 확인됐다.

핵심 쟁점은 KT가 해킹으로 피해를 입은 이용자들에게 위약금을 부과한다는 점이다. 피해자 보호와 기업의 책임 경영 원칙, 그리고 규제 감독 기조 사이에서 산업 내 논란이 커지고 있다. KT는 약 900만원 규모의 위약금을 피해자들에게 부과한 것으로 파악됐으나, 국회와 과기정통부는 신속한 위약금 면제 및 후속 지원책 마련을 주문했다.

기술적으로 보면 펨토셀은 저전력의 소형 셀 기지국을 주거·실내 환경에서 활용하는 장비다. 이번 해킹은 펨토셀 인증 절차의 미비점을 노려, 정상 이용자 인증 정보를 도용해 무단 결제를 발생시킨 점이 기존 모바일 결제 보안 체계의 허점을 드러냈다는 평가다. “기존 소액결제 플랫폼은 다단계 인증(2FA, Two Factor Authentication) 기반을 필수화하고 있으나, 펨토셀 도입 시 이용자 관리 체계가 상대적으로 취약했다”는 지적도 제기된다.

시장의 반응은 냉정하다. 핀테크·이통사 연계 서비스를 활용하는 사용자들은 가입 해지·피해보상 등 즉각적 조치를 요구하는 상황이다. 동시에 이동통신사 전체의 보안 관행, 이용자 보호 정책 및 위약금 체계 투명성에 대한 사회적 신뢰 회복이 무엇보다 중요해졌다.

글로벌 차원에서는 통신사 기반 인증 서비스가 공격받은 사례가 드물어, 이번 사태의 파장과 규제 방향에 대한 주목도가 더욱 높아진다. 미국과 유럽 주요국도 통신 인프라 보안 및 이용자 정보보호 가이드라인을 강화하고 있으며, 이러한 체계와의 국제 비교도 향후 중요한 정책 변수로 떠오를 전망이다.

규제 측면에서는 현행 전자금융거래법, 정보통신망법 등 실효적 제재와 신속한 조사 체계를 위한 제도 보완 필요성이 대두된다. 과기정통부는 “민관합동조사단 조사 중간 단계로, 완결적 조사 이후 법률 검토와 구체 조치가 가능하다”면서도 “KT의 자발적 책임 경영과 피해자 보호 노력이 필수적”임을 강조했다.

업계와 전문가들은 이번 사태가 통신·핀테크 산업 내 보안 기술 고도화, 위약금 체계 개선, 그리고 고객 신뢰 회복 여부를 가늠할 시험대가 될 것으로 내다보고 있다. “산업계는 이번 기술 및 기업 대응이 실제 시장 신뢰 회복으로 이어질 수 있을지 주목하고 있다.”