경찰이 ‘KT 소액결제 사건’의 주범이 중국에 있다는 정황을 잡고 수사 중이다. 지난 16일 인천국제공항에서 입국하다 체포된 중국동포 A씨가 “중국에 있는 윗선의 지시를 받았고, 최근 중국에서 만난 사실이 있다”며 중국 현지 윗선이 누구인지 신원을 털어놨기 때문이다.

A와 같은 날 체포된 공범 B씨는 모두 18일 구속됐다. A씨는 불법 초소형 기지국(펨토셀) 장비를 승합차에 싣고 다니면서 수도권 특정 지역 KT 이용자들의 휴대전화를 해킹해 모바일 상품권을 구매하는 등의 방식으로 소액결제한 혐의(정보통신망법 위반 등)를 받는다. B씨는 해당 소액결제 건을 현금화하는 등의 방식으로 범행에 가담(컴퓨터 등 사기 사용 등 혐의)했다.

경기남부경찰청 사이버수사과는 이 사건이 조직적 범죄일 가능성이 있다고 판단하고 추적 중이다. A씨와 B씨가 경찰 조사에서 서로 “모르는 사이”라고 진술했고, 두 사람 모두 정보통신(IT) 업종에 종사한 경험이 없는 것으로 파악됐기 때문이다. 경찰은 범행 수법의 복잡성 등을 고려했을 때 이들이 점조직 방식으로 상선 또는 조력자의 범행 지시를 받고 실행만 했을 가능성이 크다고 보고 있다. 경찰은 “중국에 윗선이 있다”는 A씨 진술에 따라 이들의 행적을 수사하고, 디지털 포렌식 등을 통해 A씨와 연락을 주고받은 인물을 파악 중이다.

경찰은 A씨가 사용한 불법 펨토셀을 그의 차량에서 압수하고, 이 장비를 구한 경위도 수사하고 있다. A씨는 “장비를 국내에서 구했으며, 피해 발생 지역(서울 금천구, 경기도 부천·광명·과천 등)에서 차량을 운행했다”고 시인한 상태다.

한편 KT는 이날 기자간담회를 열고 “소액결제 피해자 수가 278명에서 362명으로, 누적 피해금액도 1억7000만원에서 2억4000만원으로 늘었다”고 밝혔다. 6월 1일부터 9월 10일까지 3개월간 발생한 소액결제 2267만 건을 전수조사한 결과다. 기존 상품권 소액 결제 피해 외에 교통카드 등 다른 유형의 소액결제 피해 사례도 추가로 나왔다.

KT는 조사 과정에서 기존에 확인된 불법 펨토셀 ID 2개 외에 새로 2개의 ID를 더 발견했다. 총 4개의 불법 펨토셀을 통해 2만 명이 신호를 수신했다. 이를 통해 IMSI(가입자식별번호)뿐 아니라 IMEI(단말기고유식별번호)와 휴대전화 번호가 유출된 정황도 나왔다. KT는 지난 11일 간담회에서 5561명의 IMSI만 유출됐다고 주장했으나, 한 주 만에 기존 발표를 번복했다. KT는 추가로 확인한 피해 정황에 대해 개인정보보호위원회에 이날 보완 신고했다.