KT 소액결제 피해자, 더 있었다…'오락가락' 발표 이제 끝?

KT 무단 소액결제 사태 관련 전수 조사 결과를 발표했다. 국회를 통해 알려졌던 추가 피해 정황이 모두 사실로 확인됐다. 피해자 수가 그간 알려진 규모보다 더 늘었난 것으로 파악되면서 'KT 책임론'이 거세질 수 있다는 지적이 나온다.

KT는 17일 소액결제 피해 관련 데이터 전수 조사를 완료했다고 밝혔다. 조사는 지난해 8월1일부터 지난달 10일까지 이뤄진 모든 통신과금대행 결제내역 약 1억5000만건을 대상으로 진행됐다. 소액결제 8400만건과 후불통신과금결제(DCB) 6300만건이 모두 포함됐다. 자동응답전화(ARS)뿐 아니라 문자메시지(SMS), 패스(PASS·본인확인 서비스 애플리케이션) 인증으로 발생한 결제도 조사했다.

KT는 전체 휴대전화 기지국 간 4조300억건에 이르는 접속 기록을 모두 살폈다. 불법 초소형 기지국 펨토셀을 탐지하고 이를 활용한 아이디 접속 이력과 전체 결제 데이터를 교차 검증했다.

KT 조사 결과 불법 펨토셀 ID는 기존 4개에서 16개가 추가로 발견되면서 총 20개로 확인됐다. 해당 펨토셀 아이디 접속 이력이 있는 가입자 수는 2200여명 더 많은 총 2만2200여명으로 조사됐다. 이는 국회 과학기술정보방송통신위원회 소속 의원들이 확인한 내용과도 일치한다.

무단 소액결제 사태 피해자 수도 362명에서 6명 늘어난 368명으로 확인됐는데 이 또한 과방위에서 전날 추정했던 규모와 들어맞는다. 추가 피해자의 피해액은 319만원이다.

KT는 패스 인증, DCB 결제의 경우 이상결제가 발생하지 않았다고 설명했다. 무단 소액결제가 최초로 발생한 시점은 당초 확인됐던 내용과 동일한 지난 8월5일로 파악됐다. KT가 비정상적 소액결제 시도를 차단한 지난달 5일 이후에 추가 피해가 발생하지 않았다.

KT는 이번 조사 결과를 개인정보보호위원회 등 관계 기관에 보완 신고했다. 추가로 피해가 확인된 고객을 대상으로 한 보호 조치도 이행하고 있다. 대규모 전수 조사에 시간이 소요된 데 대해선 거듭 사과한다는 입장을 내놨다. 정부 조사와 경찰 수사에도 성실히 협조하겠다고 덧붙였다.

KT가 직접 발표하기 전 이미 국회 등을 통해 추가 피해 정황이 계속해서 드러났던 만큼 'KT 책임론'이 한층 더 거세질 가능성이 크다는 관측이 나온다. 그간 KT 행보를 보면 오락가락 발표가 이어졌다. 정부조차 KT의 허위 자료 제출과 증거 은닉을 지적하면서 경찰에 수사를 의뢰할 정도였다.

KT는 앞서 사태 초기 유출 내용과 피해 범위 등을 실제보다 적게 발표했고 이후 이를 정정했다. 지난달 11일엔 피해자 278명, 피해금액 1억7000만원이라고 발표했지만 1주 뒤 각각 326명, 2억4000만원으로 바로잡았다.

또 사태 초기엔 개인정보 유출 정황이 없다고 밝혔다. 하지만 1차 브리핑에선 국제이동가입자식별정보(IMSI), 2차 브리핑에선 국제단말기식별번호(IMEI)와 휴대전화 번호가 유출됐다고 추가로 발표했다. 2차 브리핑 때만 해도 '서버 침해 정황은 없다'던 입장은 하루 만에 뒤집혔다. KT는 서버 침해 정황을 포착하고 한국인터넷진흥원(KISA)에 신고했다.

과학기술정보통신부는 펨토셀 장비로 정식 네트워크에 접속할 수 있을 정도로 KT의 관리가 부실했다는 판단에 따라 이번 사태 전반을 조사하고 있다. 경찰뿐 아니라 개인정보위원회와 함께 범행 장비 출처, 소액결제 인증 정보 탈취 경로를 확인하는 중이다.

무단 소액결제 사태 피해와 관련한 가입자 위약금 면제 여부도 주목된다. 최 위원장은 그간 파악된 정황을 토대로 국회입법조사처에 위약금 면제가 가능한지 조사를 의뢰했다. 입법조사처는 위약금 면제가 가능한 귀책 사유가 KT에 있다면서 "SK텔레콤 해킹 사건과 같은 틀로 판단될 것으로 보인다"고 답한 것으로 전해졌다.

KT는 "재발 방지를 위한 기술·제도적 보완책 마련과 실질적 고객 보호 조치에 끝까지 책임을 다하겠다"고 했다.

김대영 한경닷컴 기자 kdy@hankyung.com