"유령 기지국의 습격?"…KT 소액결제 파문 커진다

2025년 8월. 기묘한 휴대전화 알림이 경기도 광명시와 서울 금천구 일대의 평온한 새벽 공기를 깨웠다. 모두가 잠든 시각, 이용자 자신도 모르는 사이 적게는 수십만 원에서 많게는 100만 원에 가까운 돈이 소액결제로 빠져나갔기 때문이다. 

누군가는 모바일 상품권이 충전됐고, 다른 누군가는 교통카드가 결제됐다. 이 유령 같은 범죄는 8월 27일 시작되어 9월 5일까지 열흘 가까이 계속됐다.

사건의 윤곽이 드러나기 시작한 것은 피해자들이 경찰에 잇따라 신고하면서부터다. 실제로 경기남부경찰청은 8일 공식 발표를 통해 광명과 금천 일대에서 접수된 피해 규모가 총 74건, 피해액은 4580만 원에 달한다고 밝혔다. 그러나 이는 시작에 불과했다. 피해 신고는 걷잡을 수 없이 늘어났고 10일 과학기술정보통신부는 총 피해 건수가 278건, 피해액은 무려 1억7000만 원으로 잠정 집계됐다고 발표했다.

피해자들에게는 몇 가지 뚜렷한 공통점이 있었다. 모두 KT 통신사 혹은 KT 망을 사용하는 알뜰폰 이용자였고, 피해가 광명시 소하동·하안동, 서울 금천구 가산동·독산동 등 특정 지역에 집중됐다. 심지어 광명의 한 아파트 단지에서는 다수의 피해자가 동시에 발생하기도 했다. 또 범행은 대부분 이용자가 잠든 늦은 밤부터 새벽 사이에 집중적으로 일어났다.

피해자들의 연령대, 휴대전화 기종, 개통 대리점 등은 모두 제각각이었으며, 이들 중 누구도 악성 앱을 설치하거나 의심스러운 문자메시지의 URL을 클릭한 사실이 없다고 진술했다. 이용자의 부주의가 아닌, 통신 시스템 자체의 허점이 뚫렸을 가능성이 수면 위로 떠오른 순간이었다.

사건의 심각성을 인지한 경찰은 즉각 수사 체계를 확대하며 총력 대응에 나섰다. 

경기남부경찰청은 기존 1개 팀이었던 전담팀을 4개 팀, 총 25명의 수사관으로 확대 편성하고 광명과 금천에서 접수된 사건을 모두 이첩받아 병합 수사에 착수했다. 경찰 관계자는 "이런 방식의 범행은 국내에서 유례가 없는 최초의 사례"라며 "통신사, 결제 대행업체(PG사), 상품 판매업체 등 관련된 모든 곳을 대상으로 모든 가능성을 열어두고 수사하고 있다"고 밝혔다.

수사 초기 경찰은 특정 대리점을 통한 개인정보 유출 가능성에 무게를 뒀다. 그러나 피해자들의 개통 대리점이 모두 달라 뚜렷한 연관성을 찾지 못하며 수사는 미궁에 빠졌다. 

단서는 일부 피해자들이 카카오톡 계정 로그아웃 정황을 밝히며 잡히기 시작했다. 실제로 "소액결제 피해가 발생하기 직전 카카오톡 계정에서 강제로 로그아웃됐다"는 공통된 진술이 확보했다는 설명이다. 제3자가 피해자 계정에 동시 접속을 시도하며 벌어진 현상일 가능성이 커지는 순간이다.

정부의 개입과 '유령 기지국'의 실체
경찰은 피해자 25명의 휴대전화를 확보해 디지털 포렌식 작업을 진행하며 이 미스터리한 현상과 실제 결제 범죄 사이의 연결고리를 찾는 데 주력했다. 그 결과 가장 유력한 범행 수법은 '가짜 기지국'을 이용한 신종 해킹 수법일 가능성이 높아지고 있다. 범죄 조직이 특정 지역에 KT 이동통신 기지국으로 위장한 '펨토셀(Femtocell)'이라는 초소형 기지국 장비를 설치해 인근 이용자들의 통신 데이터를 가로채 인증번호 등을 탈취했을 것이라는 분석이다. 

피해자 중에 KT 망을 이용하는 알뜰폰 가입자가 다수 포함된 것으로 알려지며 현재 이 가설은 가장 유력한 시나리오로 급부상하고 있다.

실제로 과학기술정보통신부는 8일 KT의 침해사고 신고 접수 직후 현장 조사를 벌였고, 이 과정에서 KT는 '불법 초소형 기지국의 통신망 접속'을 원인 중 하나로 언급했다. 나아가 해커가 불법 기지국을 다른 장소로 옮겨 범행을 이어갈 가능성을 확인하고, 9일 새벽 KT에 즉각적인 차단 대책을 요구한 것으로 확인됐다. 현재 KT는 9일 오전 9시를 기해 신규 초소형 기지국의 통신망 접속을 전면 차단했다. 과기정통부는 또한 SK텔레콤과 LG유플러스에도 유사 피해 확산을 막기 위해 초소형 기지국에 대한 접속 제한 조치를 내릴 것을 요청한 것으로 알려졌다.

이번 사건의 핵심으로 지목된 '펨토셀'은 가정이나 사무실 등 전파가 약한 음영지역의 통신 품질을 높이기 위해 설치되는 초소형 기지국 장비다. 하지만 보안 관리가 허술할 경우 해커가 이를 악용해 통신 데이터를 가로채는 통로로 악용될 수 있다는 우려가 꾸준히 제기되어 왔다. 이번 KT 사태는 그 우려가 현실이 된 첫 사례로 기록될 가능성이 커졌다.

개인정보보호위원회 역시  KT의 개인정보 유출 의혹에 대한 조사에 착수했다고 밝혔다. 시민단체의 조사 요청과 피해자들의 침해 신고가 잇따르자 본격적인 조사에 나선 것이다. 개인정보위는 구체적인 사건 경위와 개인정보 유출 여부 등을 집중적으로 확인할 방침이다.

한편 피해가 확산하는 동안 주무 통신사인 KT의 대응도 도마 위에 올랐다. 

KT가 비정상적인 소액결제 시도를 처음 감지하고 차단 조치에 나선 것은 9월 5일 새벽이었다. 그러나 이용자들에게 관련 내용이 공식적으로 공지된 것은 그로부터 한참 뒤였다. 

더 큰 문제는 KT의 사건 인지 시점과 관련된 의혹이다. 경찰이 이미 9월 1일에 연쇄적인 소액결제 피해 사실을 KT 측에 알렸다는 사실이 뒤늦게 드러났기 때문이다. 경찰의 경고 이후에도 KT가 즉각적인 조치에 나서지 않고 수일간 시간을 허비했다는 비판이 커지는 이유다.

KT는 9월 8일 한국인터넷진흥원(KISA)에 침해 사고를 공식 신고했다. 다만 신고서에는 사고 발생 시간을 '확인 불가'로, 피해 사실 인지 전 이상 징후를 '없었음'으로 기재했다. 사건을 축소·은폐하려 한 것 아니냐는 지적이다.

논란은 여기서 그치지 않았다. 더불어민주당 이정헌 의원실에 따르면 KT가 국회에 "확실한 이상 정황이 파악되지 않았다"고 보고한 사실이 10일 밝혀졌기 때문이다. 보고가 이뤄진 시점은 KT가 이미 과기정통부에 '불법 초소형 기지국'의 침해 가능성을 언급하고, 정부의 요구에 따라 9일 오전 9시부터 신규 초소형 기지국의 통신망 접속을 전면 제한하는 조치를 취한 뒤였다. 논란이 커질 수 밖에 없다.

KT는 이번 사태와 관련해 "고객 피해 발생 등 심려를 끼쳐 송구하다"며 "피해 고객에게 어떠한 금전적 피해도 가지 않도록 하겠다"고 밝혔다. 피해액 전액을 보상하고 이용자에게 청구하지 않겠다는 방침이다.