내 돈이 줄줄 새는데 KT는 침묵했다… 유령결제 사태로 시험대 오른 KT

어느 날 새벽, 나도 모르는 사이 수십만 원이 휴대폰 소액결제로 빠져나갔다. 더 소름 돋는 사실은, 옆집도, 윗집도, 같은 아파트 주민들이 동시다발적으로 피해를 봤다는 점이다.

피해 금액은 광명경찰서 3,800만 원, 금천경찰서 780만 원 등 총 4,580만 원. 부천 소사경찰서도 총 411만 원이 빠져나갔다는 이용자 신고를 받고 수사 중이다.

최근 KT 이용자들을 덮친 '유령 소액결제' 사태는 단순 스미싱을 넘어 특정 지역을 정밀 타격하는 이례적인 양상으로 번지고 있다. 피해 사실을 알고도 열흘 넘게 사실상 침묵한 KT, 법의 심판을 피할 수 있을까?

12일의 침묵, 법이 정한 '24시간 골든타임' 놓쳤다

정보통신망법은 KT와 같은 정보통신서비스 제공자에게 해킹 등 침해 사고를 인지한 시점부터 24시간 이내에 한국인터넷진흥원(KISA)이나 과학기술정보통신부에 신고할 의무를 부여하고 있다. 신속한 초동 대응으로 추가 피해를 막기 위한 골든타임 규정이다.

하지만 KT의 대응은 이 골든타임을 한참 지나쳤다. 첫 피해 사례가 제보된 8월 27일로부터 무려 12일이 지난 9월 8일에야 KISA에 공식 신고를 접수했다. 최초 피해 제보 시점에 이미 비정상적 결제 시도를 인지했을 가능성이 높은데도, 법이 정한 신고 의무를 명백히 위반한 셈이다. 이는 단순 실수를 넘어 과태료 부과 대상이 될 수 있는 중대한 절차 위반이다.

"알아서 찾아보라" 식의 늑장 공지

이용자에 대한 알 권리 보장도 낙제점이다. KT는 첫 피해 제보 후 열흘이 지난 9월 6일에야 홈페이지에 안내문을 게시했다. 하지만 이마저도 눈에 띄지 않는 홈페이지에 숨어 있었을 뿐, 문자나 팝업 등 적극적인 공지는 없었다.

이는 이용자들이 스스로 소액결제 한도를 낮추거나 서비스를 차단하는 등 스스로를 보호할 기회를 박탈한 행위다. 정보통신망법과 전자금융거래법은 모두 사고 발생 시 이용자에게 해당 사실을 통지할 의무를 규정하고 있다. KT의 소극적이고 지연된 공지는 법적 의무를 다하지 않아 피해를 키웠다는 비판을 피하기 어렵다.

같은 아파트만 노린 해킹…KT의 보안 책임은?

이번 사태의 가장 이례적인 지점은 피해가 경기 광명, 서울 금천 등 특정 지역, 심지어 같은 아파트 단지에 집중됐다는 점이다. 이는 무작위로 악성 링크를 보내는 스미싱과 달리, 특정 지역의 통신망이나 기지국 등 KT의 인프라 자체에 보안 취약점이 있었을 가능성을 시사한다.

KT는 "개인정보 해킹 정황은 없다"고 밝혔지만, 소액결제는 이용자 정보 없이는 불가능하다.

대법원은 해킹 사고 발생 시, 정보통신서비스 제공자가 "사회통념상 합리적으로 기대 가능한 수준의 보호조치"를 다했는지 여부를 엄격하게 따진다. 특정 지역에서 동시다발적으로 피해가 발생한 것은 KT가 통신망 보안 시스템에 만전을 기했는지에 대한 근본적인 의문을 제기한다.

KT는 금전적 피해 전액을 보상하겠다고 밝혔지만, 법적 책임은 거기서 끝나지 않는다. 이는 최근 2,300만 명의 개인정보 유출로 역대 최대 과징금을 부과받은 SKT의 사례와 놀랍도록 닮아있다.

SKT 역시 해킹 사실을 인지하고도 이용자 통지를 수개월이나 지연해 '최소한의 의무조차 이행하지 않았다'는 비판을 받았다. 결국 이번 KT 사태 역시 단순한 금전 보상을 넘어, 국가 기간통신망 사업자로서의 무거운 책임을 가늠하는 중요한 시금석이 될 것으로 보인다.

KISA와 경기남부경찰청은 KT에 대한 현장 조사를 진행할 예정이다.