KT 소액결제 피해 362명 확산, 20년 장기고객도 당했다

KT 소액결제 해킹 사건 전말과 통신업계 보안 위기 심화

KT 소액결제 해킹 사건이 중국 전문 범죄조직의 조직적 범행으로 드러나면서 국내 통신업계 보안 체계의 근본적 취약성이 노출되었다. 중국인 피의자는 500만원을 받고 아파트 밀집 지역을 타겟으로 삼으라는 윗선의 지시를 받았다고 진술했으며, 불법 소형 기지국을 이용해 무차별적으로 개인정보를 탈취했다. 피해는 20년 장기 가입자부터 알뜰폰 사용자까지 362명에게 무작위로 발생했고, KT 서버에는 Smominru 봇넷 악성코드가 심어져 원격 제어가 가능한 상태였다. 서버 폐기 허위 보고 의혹까지 제기되면서 사건의 심각성이 더욱 부각되고 있다. KT 소액결제 해킹의 구체적 수법과 업계 파급효과를 종합 분석해보자.

피해 현황

KT 소액결제 해킹 사건의 피해 규모가 당초 예상보다 훨씬 광범위하고 무차별적인 것으로 드러났다. 국회 과학기술정보방송통신위원회 김장겸 의원실이 KT로부터 제출받은 자료에 따르면, 현재까지 집계된 피해자는 362명으로 가입 기간이나 세대를 가리지 않고 발생했다.

특히 주목할 점은 20년 이상 장기 가입자 10명도 피해를 당했다는 것이다. 가장 오래된 피해자는 1999년 가입자로, 25년간 KT를 이용해온 충성 고객도 예외가 아니었다. 연도별로는 1999년 가입자 3명, 2000년 2명, 2002년 1명, 2004년 4명이 포함되었으며, 가장 최근 피해자는 올해 7월 7일 가입자로 확인되었다.

연령별 분포를 보면 40대가 95명으로 가장 많았고, 30대와 50대가 각각 90명으로 뒤를 이었다. 20대 36명, 60대 이상 51명으로 전 세대에 걸쳐 피해가 발생했다. 이는 해커들이 특정 연령층을 타겟으로 하지 않고 무차별적으로 공격했음을 의미한다.

더욱 심각한 것은 KT 직접 고객이 아닌 알뜰폰 가입자 59명도 피해를 당했다는 점이다. 이는 KT 망을 이용하는 모든 사용자가 위험에 노출되어 있음을 보여주며, 통신 인프라 보안의 중요성을 다시 한번 확인시켜준다.

피해 지역도 계속 확산되고 있다. 기존에 알려진 경기 광명·부천·과천, 서울 금천·영등포, 인천 부평 일대뿐 아니라 서울 동작구, 서초구, 경기 고양시 일산동구 등에서도 피해가 발생한 것으로 파악되었다.

💡 피해 특징 분석:
• 무차별적 공격: 가입 기간, 연령, 통신사 구분 없음
• 지역적 확산: 아파트 밀집 지역 집중 타겟팅
• 규모 증가: 278명 → 362명으로 지속 확대
• 망 무관 피해: KT 직접 고객과 알뜰폰 모두 포함

범행 수법

KT 소액결제 해킹 사건의 범행 수법이 중국 전문 범죄조직의 치밀한 계획 하에 이루어졌음이 수사를 통해 밝혀졌다. 인천국제공항에서 검거된 중국인 A(48)씨는 경찰 조사에서 윗선으로부터 500만원을 받고 아파트 밀집 지역을 범행 대상으로 삼으라는 구체적인 지시를 받았다고 진술했다.

A씨의 범행 방식은 매우 체계적이었다. 불법 소형 기지국(펨토셀)을 승합차에 싣고 경기 광명시, 서울 금천구 등 아파트 단지를 돌며 이동식 해킹을 실시했다. 이는 고정된 장소에서의 해킹과 달리 추적을 어렵게 하고 더 많은 피해자를 양산할 수 있는 교묘한 수법이었다.

경찰은 범행을 지시한 ‘윗선’이 중국의 전문 범죄조직일 가능성에 무게를 두고 있다. 단순한 개인 범죄가 아닌 조직적이고 체계적인 국제 사이버 범죄의 성격이 강하다는 것이다. 특히 아파트 밀집 지역을 타겟으로 한 것은 인구 밀도가 높아 더 많은 피해자를 확보할 수 있다는 계산에서 나온 것으로 분석된다.

범행 도구인 불법 소형 기지국의 활용 방식도 주목할 만하다. 이 기지국은 정상적인 통신사 기지국으로 위장하여 주변 휴대폰들이 자동으로 연결되도록 한다. 사용자들은 자신의 휴대폰이 해킹당하고 있다는 사실을 전혀 알 수 없었다.

중국인 피의자 A씨는 "윗선으로부터 500만원을 받고, 아파트 밀집 지역을 범행 대상으로 삼으라는 지시를 받았다"고 진술했다.

서버 침해

보안 전문가들은 이번 KT 해킹 사건을 ‘해커들이 저지른 해킹의 교본 같은 사례’라고 평가하고 있다. 국민의힘 최수진 의원실이 확보한 KT의 해킹 신고서를 보안업체가 분석한 결과, 매우 전형적이면서도 고도화된 해킹 과정의 전모가 드러났다.

해킹 과정은 ‘윈도 서버 침투 후 측면 이동 시도’ 방식으로 진행되었다. 이는 해커가 윈도 서버 1대에 먼저 침투한 이후 이를 기반으로 다른 서버로 이동하려고 시도한 것을 의미한다. SK텔레콤 해킹 사태와 유사하게 KT 네트워크의 취약점을 파고들어 내부 서버에 침투했다.

가장 심각한 것은 KT 서버에 ‘Smominru 봇넷’ 악성코드가 심어졌다는 점이다. 이 악성코드는 2017년부터 활동해온 것으로, KT 서버 일부가 감염되었다는 것은 공격자가 원격에서 서버를 제어 가능한 상태였음을 의미한다. 해커는 이 코드를 통해 KT 서버에 저장된 민감한 정보를 탈취하는 데 성공했고, 복수의 서버에도 침투했다.

더욱 우려스러운 것은 백도어(우회 통로) 설치 시도다. 해커들은 정상적인 인증 절차를 거치지 않고 몰래 네트워크에 접속할 수 있도록 백도어를 심으려 했으며, 언제든 해당 시스템에 들어와서 비밀번호 없이도 접속 가능하게 했다. 이는 ‘비밀키’도 유출된 정황이 있음을 시사한다.

은폐 의혹

KT 소액결제 해킹 사건의 심각성은 서버 폐기 허위 보고 의혹으로 더욱 커졌다. 박충권 국민의힘 의원이 KT로부터 제출받은 자료에 따르면, KT는 이미 폐기하지 않은 서버를 폐기했다고 정부에 거짓 보고한 정황이 확인되었다.

KT는 지난 8월 11일 한국인터넷진흥원(KISA)으로부터 해킹 의혹 관련 자체 조사 결과 제출을 요청받은 후, 8월 13일 ‘해당 원격상담시스템 서버가 8월 1일 폐기됐다’는 내용의 조사 결과를 발송했다. 그러나 실제로는 8월 1일 2대를 시작으로 8월 6일 4대, 8월 13일 2대 등 총 세 차례에 걸쳐 서버가 폐기되었다.

이는 정부에 서버 폐기 사실을 보고했을 당시 일부 서버가 여전히 존재했다는 의미로, 의도적인 허위 보고 가능성을 제기한다. 특히 폐기된 서버가 군포·구로·광화문 고객센터를 담당한 구형 서버였고, 군포·구로 서버의 관할 지역이 무단 소액결제 피해가 집중된 서울 금천구·경기 광명시와 지리적으로 인접해 있어 연관성 의혹이 더욱 커지고 있다.

다행히 KT는 22일 폐기된 서버의 로그(기록)가 백업되어 있음을 확인하고 이를 민관합동조사단에 공유했다. 백업 로그의 존재는 외부 보안전문 기업의 4개월간 조사 과정에서 확인되었다. 이로써 서버는 물리적으로 폐기되었지만 디지털 증거는 보존되어 있어 진상 규명에 도움이 될 것으로 기대된다.

💡 서버 폐기 타임라인:
• 8월 1일: 2대 폐기 (KT 보고 시점)
• 8월 6일: 4대 추가 폐기
• 8월 13일: 2대 추가 폐기 (정부 보고일)
• 백업 로그는 보존되어 조사 가능

업계 대응

KT는 소액결제 해킹 사태로 인한 소비자 불신과 가입자 이탈을 막기 위해 공격적인 보조금 정책을 펼치고 있다. 아이폰 17 출시 첫 주말에 대규모 판매장려금 지급 기준요금제를 11만원에서 9만원으로 대폭 인하했다.

이는 SK텔레콤과 LG유플러스의 기준요금제가 10만원 이상인 점을 고려하면 파격적인 조건이다. 실제로 아이폰 17 시리즈 개통 첫날인 9월 19일 KT에서만 1,328건(번호이동 순감)이 빠져나가자, 다음날 즉시 대책을 마련한 것으로 분석된다.

보조금 정책의 효과는 즉시 나타났다. 9월 20일 KT 번호이동은 689건 순증으로 반전되었고, 오히려 SK텔레콤이 715건 순감을 기록하며 상황이 뒤바뀌었다. KT는 삼성전자의 갤럭시 Z 시리즈도 ‘차비폰’ ‘0원폰’으로 판매하며 가입자 유치에 총력을 기울이고 있다.

일부 판매점에서는 ‘KT로 번호이동 시 갤럭시Z플립7은 50만원을 지급하고 갤럭시Z폴드7은 0원에 판매한다’고 홍보하고 있다. 갤럭시S25도 번호이동 시 35만원 차비폰으로 판매하며, 기존 가입자에게도 약간의 차비를 지급하여 이탈을 방지하고 있다.

보안 강화

KT 소액결제 해킹 사건을 계기로 개인과 기업 모두 사이버 보안에 대한 근본적인 인식 전환이 필요하다. 이번 사건은 통신 인프라의 취약성이 개인의 금융 피해로 직결될 수 있음을 보여주었다.

개인 사용자들이 즉시 취해야 할 조치들이 있다. 소액결제 한도를 최소화하거나 전면 차단하고, 통신사와 금융기관의 실시간 알림 서비스를 모두 활성화해야 한다. 특히 아파트 거주자들은 불법 기지국의 주요 타겟이 될 수 있으므로 더욱 주의가 필요하다.

비밀번호 관리도 강화해야 한다. 통신사, 금융, 포털 서비스별로 각각 다른 복잡한 비밀번호를 설정하고, 가능한 경우 다단계 인증을 활용해야 한다. 또한 정기적으로 소액결제 내역과 통신요금을 점검하여 이상 거래를 조기에 발견하는 것이 중요하다.

기업들은 더욱 포괄적인 보안 체계를 구축해야 한다. 네트워크 분할을 통해 중요 시스템을 격리하고, 제로 트러스트 보안 모델을 도입하여 모든 접근을 검증해야 한다. 또한 정기적인 보안 감사와 침투 테스트를 통해 취약점을 사전에 발견하고 보완하는 것이 필요하다.

💡 개인 보안 강화 체크리스트:
• 소액결제 한도 최소화 또는 전면 차단
• 통신사·금융기관 실시간 알림 활성화
• 서비스별 고유 비밀번호 설정 및 다단계 인증
• 정기적인 요금·결제 내역 점검
• USIM PIN 설정과 분실 시 원격 잠금 준비

통신업계 보안 혁신

통신업계는 이번 사태를 계기로 보안 패러다임의 근본적 전환이 필요하다. 단순한 기술적 보안을 넘어 조직 문화, 프로세스, 거버넌스 전반의 혁신이 요구된다. 특히 국제 사이버 범죄조직의 공격에 대비한 국가 차원의 대응 체계 구축도 시급하다.

KT 소액결제 해킹 사건은 국내 통신업계 보안의 구조적 취약성을 적나라하게 드러낸 사건이다. 중국 전문 범죄조직의 치밀한 계획 하에 이루어진 이번 공격은 단순한 해킹을 넘어 국가 통신 인프라에 대한 도전이었다. 362명의 무차별 피해와 Smominru 봇넷을 통한 서버 원격 제어, 그리고 서버 폐기 허위 보고 의혹까지 사건의 심각성은 계속 커지고 있다.

핵심은 투명한 진상 규명과 근본적인 보안 체계 개선이다. 백업 로그의 발견으로 디지털 포렌식 조사가 가능해진 만큼, 정확한 피해 규모와 유출 정보의 범위가 신속히 밝혀져야 한다. 또한 중국 범죄조직과의 연결고리를 추적하여 국제 공조 수사를 통한 재발 방지 대책을 마련해야 한다.

장기적으로는 통신업계 전반의 보안 거버넌스 강화가 필수다. 개인정보를 다루는 통신사로서의 책임감을 바탕으로 한 근본적인 변화만이 국민 신뢰 회복의 출발점이 될 것이다. 이번 사건을 계기로 모든 이해관계자들이 사이버 보안의 중요성을 재인식하고 실질적인 대응 역량을 강화해야 할 때다.