KT의 이동통신망을 악용한 불법 소액결제 사기 사건의 피해 규모가 당초 예상보다 커지면서, 정보통신 보안과 통신사 관리 책임에 대한 논란이 거세지고 있다.

KT는 9월 18일 서울 광화문에서 긴급 브리핑을 열고 최근 수개월간 ARS 인증을 통해 이뤄진 소액결제 데이터 2천267만 건을 전수조사한 결과, 불법 신호를 발산한 펨토셀(Femtocell, 초소형 기지국) ID 2건이 추가로 발견됐다고 밝혔다. 이에 따라 피해자 수는 기존 278명에서 362명으로 늘었고, 누적 피해금액도 2억4천만 원에 이르렀다. KT는 수집된 데이터에서 비정상 결제 패턴을 토대로 분석을 진행했으며, 이 과정에서 불법 펨토셀의 신호에 노출된 고객이 약 2만 명에 달하는 것으로 파악됐다.

문제의 펨토셀은 휴대전화 기지국의 역할을 하는 기기로, 신호 반경이 작아 가정용이나 소형 사무실 등에서 주로 쓰인다. KT는 이번 사건에서 자사 서비스에 사용됐던 펨토셀이 무단 개조돼 고출력 장치와 연결되거나, 아예 다른 무선 장비에 KT 네트워크 정보가 이식돼 범행에 사용된 것으로 보고 있다. 실제로 피해 규모로 볼 때 일반 펨토셀이 제공하는 30평형 아파트 수준을 넘는 상당한 커버리지를 가졌던 것으로 추정된다.

보안상 더욱 심각한 문제는 개인정보 유출 범위의 확대다. 기존에는 국제이동가입자식별번호(IMSI)만이 유출된 것으로 알려졌지만, 이번 조사를 통해 국제단말기식별번호(IMEI)와 휴대전화 번호도 함께 빠져나간 것으로 확인됐다. 이는 이용자 단말기를 전부 복제한 ‘복제폰’ 가능성을 의심하게 만드는 단서다. 하지만 KT는 인증 키가 내부 시스템에 암호화되어 저장돼 있기에 실제 복제폰 제작은 불가능하다는 입장을 고수하고 있다.

한편 KT는 피해 보상과 재발 방지를 위한 여러 대책을 내놨다. 우선, 피해 고객에 대해 결제 금액이 청구되지 않도록 조치 중이며, 이미 출금된 건에 대해선 환불을 진행하고 있다. 이와 함께 유심카드 무상 교체, 금융사기 보상 목적의 ‘안전안심보험’ 3년 무료 제공, 전국 2천여 개 KT 매장을 통한 휴대전화 안전 점검 등이 제공될 예정이다. 위약금 면제 등 추가 보상책은 여전히 검토 중이다.

이번 사건을 계기로 통신망 인프라의 보안 취약성과 관리 시스템 부실 문제가 다시 한 번 도마 위에 올랐다. KT는 현재 접속 이력이 없는 펨토셀 4만3천 대의 연동을 차단했고, 연말까지 2만 대 이상을 추가 회수할 계획이다. 펨토셀 관련 보안 정책 강화를 포함해 모바일 서비스와 단말 보안을 우선순위로 두고 향후 투자를 재조정한다는 계획도 내놓았다.

이 같은 흐름은 통신망 기반의 보안 위협이 기술적으로 진화하고 있다는 점을 보여주며, 향후 보안 수준 향상과 기업 책임 범위 확대에 대한 사회적 논의로 이어질 가능성이 높다. 특히 고객 개인정보와 관련된 민감한 정보가 반복적으로 유출되는 사례가 지속되면서, 통신사 전반의 보안 거버넌스에 대한 근본적인 재검토가 불가피해질 전망이다.