KT 무단 소액 결제 피해 건수가 278건, 피해금액이 1억7000만원(10일 기준)으로 집계됐다. 당국은 KT 시스템에 등록되지 않은 불법 초소형 기지국인 이른바 ‘가짜 기지국’이 KT 통신망에 접속한 사실도 확인됐다.

과학기술정보통신부 류제명 2차관은 10일 정부 서울청사에서 브리핑을 열고 이같이 설명하면서 “해외, 동남아에서 있던 사례들을 참고해 어떤 연관성이 있는지 등을 살펴볼 것”이라고 말했다. 경찰은 조직 범행에 무게를 두고 수사하고 있다. 개인정보 유출 가능성도 제기되면서 개인정보보호위원회도 조사에 나섰다.

가짜 기지국은 통신사가 운영하지 않는 불법 장비로 통신사 기지국보다 강력한 신호를 보내 휴대전화와 연결하는 장비다. 이를 이용한 해킹은 국내에서는 첫 사례다.

다만 해외서 이미 유사 사례가 있었고, 학계서도 꾸준히 제기됐던 위험임에도 보안 대비가 전무했다는 비판이 나온다. 지난 4월 태국에선 무선 소형 기지국 장비를 백팩에 숨기고 쇼핑몰 고객에 대량 문자를 전송해 스미싱 범죄를 저지른 홍콩인 조직원이 검거됐다. 지난 5월 튀르키예에선 중국계 스파이 조직이 가짜 기지국을 활용해 정치 인사들의 통화내용 등을 탈취했다.

KT가 의도적으로 신고를 지연했다는 의혹도 제기됐다. 지난달 27일 최초 신고가 접수된 뒤 경찰이 지난 1~2일 KT 본사와 지점, 중개소 등에 연락을 취했지만 KT 측은 “해킹당할 수가 없다”는 취지로 답했다고 한다. 이후 사건 언론보도가 나오고 하루 뒤인 5일 긴급회의를 열었고, 비정상적인 소액결제 시도를 차단했다. 또 8일에서야 한국인터넷진흥원(KISA)에 이상징후를 신고했다. 정보통신망법은 정보통신서비스 제공자가 해킹 등 침해 사고를 인지한 시점부터 24시간 이내에 KISA나 과기정통부에 신고할 의무를 부여하고 있다.

이에 대해 KT는 “의도적 지연 신고가 아니다”며 “불법 초소형 기지국 아이디를 발견한 건 맞지만, 해킹이라 단정지을 수 없다”는 입장을 고수했다.

김환국 국민대 정보보안암호수학과 교수는 “기지국을 가로채는 방식으로는 전화번호나 메시지 분석 정도 알아내는 게 다일 것”이라며 “그것만으로 소액 결제 가능한 인증까지 뚫리진 않는다”고 설명했다. 경기남부청 관계자 또한 “허위 기지국만이 이번 피해의 단일 원인이라 보긴 어려워 보인다”이라며 “문자를 통한 일반 스미싱 범죄와는 확연히 달라 최대한 가능성을 열어두고 수사하고 있다”고 했다.

KT는 피해 고객들에게 해당 금액을 청구하지 않기로 했다.