서창석 KT 네트워크 부문 부사장이 17일 서울 광화문 KT광화문빌딩에서 열린 기자간담회에서 사과하고 있다. 뉴스1

KT 무단 소액결제 사태 피해 규모가 더 늘어난 것으로 확인됐다. 범행에 쓴 불법 초소형 기지국(펨토셀)이 추가로 발견되면서 소액결제 피해자 수와 피해 금액도 늘었다.

KT는 17일 서울 광화문 사옥에서 기자간담회를 열고 “무단 소액결제 사태에 활용된 펨토셀 ID 16개를 추가 발견했다”며 “이로써 범행에 쓰인 불법 펨토셀 ID 개수는 기존 4개에서 20개로 늘었다”고 발표했다. 지난해 8월 1일부터 올해 9월 10일까지 약 13개월간 발생한 소액결제 8400만 건과 구글·애플 앱 마켓 결제 6300만 건을 조사한 결과다. ARS 인증에 관한 결제 건만 조사했던 이전과 달리 ARS 인증, 문자 메시지 인증, 패스 인증 등도 조사 대상에 포함됐다.

불법 펨토셀이 추가 발견되면서 피해 규모도 늘었다. 소액결제 피해자 수는 기존에 KT가 발표했던 362명에서 6명이 추가로 더 늘었고, 6명의 소액결제 피해 금액은 총 319만원이었다. IMSI(가입자식별번호), IMEI(단말기 고유식별번호), 휴대전화 번호 등 개인정보가 유출된 피해자 수도 2197명 추가 확인됐다. KT는 지난달 11일 첫 조사 결과를 발표한 지 7일 만인 지난달 18일에 결과를 한 차례 번복했고, 이번에 조사 결과를 또 수정했다. 발표 때마다 ‘전수(全數) 조사’라는 것을 강조했지만, 조사 범위가 늘어날수록 추가 피해가 발견됐다.

신재민 기자

문제는 여전히 피해 규모가 늘어날 가능성이 남아있다는 것이다. KT에는 과거 결제 데이터가 남아있지 않아서다. 통신비밀보호법에 따라 KT는 고객 데이터를 12개월까지 보관할 수 있다. KT가 이번 발표를 위해 분석한 결제 데이터는 2024년 8월부터 2025년 9월까지 분석한 데에 그쳤다. 이 기간에 이뤄진 결제 중에 비정상적인 패턴을 감지해 불법 펨토셀을 포착하고, 피해 사례를 발견했다. 2024년 8월 이전에 이뤄진 결제는 조사할 수 없는 상황이다.

아직 결제에 필요한 추가 개인정보 탈취 경로도 밝혀지지 않았다. 구재형 KT 네트워크기술본부장은 이날 “이름, 생년월일 등은 펨토셀로 탈취할 수 없는 개인정보인데, 소액 결제를 하려면 이 정보가 필요하다”며 “이 정보들이 유출된 경로는 현재 알 수 없고, 민관합동조사단에서 조사하고 있다”고 밝혔다.

KT는 무단 소액결제 및 개인정보 유출 대상자에 한정해 피해 사실을 통지하고 유심 교체, KT안전안심보호 서비스 등을 제공하고 있다. SKT 해킹 사태와 달리 전체 가입자를 대상으로 한 통지나 보험 서비스는 없다. 김영걸 KT 서비스프로덕트부문장은 “SKT 해킹 사태와 달리 이번 사태는 피해 범위가 한정적이다”라며 “위약금 면제 여부는 민관합동조사단의 조사 결과에 따라 피해 사례를 검토한 뒤 결정할 것”이라고 밝혔다.