2만 2천명 정보 탈취! '새벽 소액결제범' 덜미, KT 책임론 확산
2만 2천명 정보 탈취! '새벽 소액결제범' 덜미, KT 책임론 확산
"증거인멸 의혹" KT는 수백억 과징금 폭탄
범죄 조직은 징역 5년 이상 중형 예고
소액결제 피해에 다시 한번 고개 숙인 KT / 연합뉴스
KT 무단 소액결제 피해 사건의 원인이 된 불법 초소형 무선 기지국(펨토셀)이 기존 4개에서 총 20개로 5배 급증한 것으로 드러났다.
피해 고객도 6명 더 추가돼 총 368명으로 확인됐으며, 이들의 총 피해 금액은 약 2억 4,300만 원에 달하는 것으로 최종 집계됐다. 특히 이 불법 기지국에 접속된 고객은 총 2만 2,200여 명으로, 이들의 전화번호, 가입자 식별번호(IMSI), 단말기 식별번호(IMEI) 등 개인정보가 탈취된 것으로 밝혀져 충격을 주고 있다.
이번 사건은 통신사의 보안 취약점과 범죄 조직의 지능적인 수법이 결합된 중대한 사안으로, 가해자뿐만 아니라 관리 소홀 책임이 있는 KT에 대한 법적 책임 공방이 예상된다.
KT 전수 조사 결과…숨겨진 불법 펨토셀 16개 추가 발견
KT는 2024년 8월 1일부터 2025년 9월 10일까지 약 1년 1개월간 이뤄진 모든 통신과금대행 결제내역 약 1억 5천만 건을 전수 조사했다. 전체 휴대전화와 기지국 간 4조 300억 건에 달하는 접속 기록을 교차 분석하는 방식으로 진행됐다.
그 결과, 최초 확인된 4개의 불법 펨토셀 ID 외에 16개가 추가로 발견돼 총 20개의 불법 기지국이 범행에 사용된 것으로 확인됐다. 이 20개 불법 펨토셀 ID에 접속 이력이 있는 고객은 총 2만 2,200여 명이다. 이들 중 실제로 무단 소액결제 피해를 입은 고객은 6명이 추가된 368명이며, 총 피해 금액은 약 2억 4,300만 원이다.
범죄 용의자 2명은 지난 8월 5일부터 9월 5일까지 한 달간 새벽 시간대에 불법 소형 기지국을 차량에 싣고 수도권 대규모 아파트 단지를 돌아다니며 범행을 저지른 혐의를 받고 있다. 이들은 탈취한 소액결제 내역을 현금화해 중국 계좌로 송금한 것으로 드러났다.
범죄 조직, '징역 5년 이상' 중형 불가피…다중 법령 위반
체포된 용의자 2명은 전파법, 개인정보 보호법, 형법상 사기죄·컴퓨터등사용사기죄, 전자금융거래법 등 다수의 법령을 위반한 혐의를 받는다. 특히 범행의 계획성, 조직성, 지능성, 광범위한 피해 규모, 그리고 범죄수익의 국제적 송금 등 불리한 정상들이 많아 징역 5년 이상의 실형이 선고될 가능성이 높다는 분석이다.
- 전파법 위반: 허가 없이 불법 펨토셀 20개를 설치·운용했다.
- 개인정보 보호법 위반: 2만 2,200여 명의 전화번호, IMSI, IMEI 등 개인정보를 영리 목적으로 무단 수집·이용했다.
- 사기죄 및 컴퓨터등사용사기죄: 탈취한 개인정보로 368명의 명의를 도용해 무단 소액결제를 실행하고 재산상 이익(약 2억 4,300만 원)을 취득했다.
- 전자금융거래법 위반: 소액결제업무를 이용하여 자금을 융통하고 이를 중국 계좌로 송금했다.
'증거인멸 의혹' KT, 수백억 과징금 폭탄과 배상 책임 직면
KT 역시 개인정보 보호 의무 위반과 정부 조사 방해 혐의로 법적 책임에서 자유롭지 못하다.
과학기술정보통신부는 KT가 해킹 의심 서버를 폐기하고 허위 자료를 제출하는 등 정부 조사를 방해하려 한 고의성이 있다고 판단해 수사를 의뢰한 상태다. 만약 이 혐의가 인정되면 형법상 증거인멸죄와 함께 행정 제재(과태료 등)를 받을 수 있다.
가장 큰 법적 쟁점은 개인정보 보호법 위반이다. KT는 정보통신서비스 제공자로서 개인정보 유출 방지를 위한 안전성 확보 조치 의무를 다하지 못했다는 지적을 받고 있다. 불법 펨토셀을 통한 비정상적 접속을 약 한 달간 탐지하지 못하고 범행이 지속되도록 방치한 것이 이 의무를 위반한 것으로 판단된다.
개인정보 보호법은 안전성 확보 조치를 위반하여 개인정보가 유출된 경우 위반행위 관련 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있도록 규정한다. KT의 연간 이동통신 매출액을 고려할 때, 이 사건으로 수백억 원 규모의 과징금이 부과될 가능성이 높다.
또한, KT는 피해 고객 368명의 소액결제 피해액에 대한 배상 책임과, 개인정보가 유출된 약 2만 2,200여 명에 대한 민사상 손해배상(위자료 등) 책임도 부담하게 된다.
'再발 방지'를 위한 제도 개선 시급…탐지 시스템 법적 의무화 목소리
이번 사건의 재발 방지를 위해서는 제도적 미비점을 보완해야 한다는 목소리가 크다. 특히, KT가 불법 기지국을 제때 탐지하지 못한 점을 해결하기 위해 이동통신사업자에게 불법 기지국 탐지 시스템의 구축 및 운영을 법적으로 의무화해야 한다는 의견이 힘을 얻고 있다.
이를 위해서는 전파법에 불법 기지국 탐지 시스템 구축 의무 및 처벌 강화를 위한 조항을 신설하고, 개인정보 보호법 시행령 개정을 통해 통신사에 특화된 안전성 확보 조치를 명확히 해야 한다.
또한 전자금융거래법 개정을 통해 일정 금액 이상 결제 시 다단계 인증 의무화 등 소액결제 보안 절차를 강화하고, 피해 고객에 대한 신속한 환급 절차를 마련해야 한다는 지적도 나온다.
정부와 수사당국은 현재 진행 중인 조사를 통해 범죄 조직과 KT의 책임을 명확히 하고, 재발 방지를 위한 기술적·제도적 보완책 마련에 속도를 낼 방침이다.
