“서울만 아니다”…KT 소액결제 무단 청구, 더 넓게 번졌다

1. 무엇이 드러났나

KT 이동통신 가입자 대상 무단 소액결제가 당초 알려진 서남권 일부를 넘어, 동작·서초·금천과 경기 광명·과천·부천 소사, 고양 일산동, 인천 부평 등으로 분산 확산된 사실이 뒤늦게 확인됐다. 국회 과방위 소속 황정아 의원실이 KT로부터 받은 자료에서 기존 발표 밖 지역들이 추가로 포착됐다.

피해는 특정 하루에 쏠리지 않았다. 지난달 5~8일 동작·관악·영등포 일대에서만 26건(15명), 이어 8일·11일에는 서초에서 6건(3명)이 보고됐다. 12~13일 광명, 15일 금천, 20일 일산동, 21일 과천 등 일정 간격으로 점 형태의 피해가 이어졌다. 26일 이후에는 금천·광명·부천 소사·부평에서도 사례가 확인됐다.

2. 시간표로 보면 보이는 것들

KT가 초기에 지목한 최초 발생 구간은 ‘지난달 5~8일’. 그런데 차단 직전으로 알려진 이달 4~5일에도 100건에 가까운 승인이 더 있었다는 정정이 뒤따랐다. 회사는 처음엔 “4~5일 피해 없음”이라 보고했지만, 이후 집계 재산정 과정에서 피해자 수를 278명 → 362명으로 올려잡았다. ‘막판 러시’가 있었던 셈이다.

이 연표는 공격이 한 차례 이벤트가 아니라 ‘틈새를 더듬는 테스트-성공-확대’에 가깝다는 점을 시사한다. 빈틈이 닫히기 직전, 끝물에 더 많은 시도가 쏟아지는 ‘비 오는 날 우산 접기 직전의 몰아치기’와 닮았다.

집계 방식 논란: “ARS만 보면 반쪽”

황 의원은 피해 파악이 계속 불어나는 배경을 집계 방식의 한계에서 찾는다. 현재 KT가 주로 본 건 자동응답(ARS) 인증을 탈취해 결제가 성사된 케이스라는 지적이다. 그는 PASS(패스) 본인확인 등 다른 인증 경로에서의 우회·대리 인증 정황까지 함께 들여다봐야 한다고 주문했다. “결제 성공 경로가 하나뿐이었다고 가정하는 순간, 빙산의 수면 아래가 사라진다.”

즉, 채널별 데이터 통합 없이 ‘ARS 성공분’만 묶어 보는 건 피해를 줄여 읽는 결과를 낳을 수 있다는 얘기다. 금융·통신 연계 결제는 다중 인증 체인으로 얽혀 있어, 한 고리만 검증하면 사다리의 나머지 발판을 놓치게 된다.

국회 요구 vs KT 해명

황 의원은 “KT가 사실과 다른 해명을 거듭했다”며 직접 고지·전수조사와 강한 제재·배상 강제를 촉구했다. 특히 과거 SKT 사안보다 강도 높은 조치가 필요하다고 강조했다.

KT는 피해 지역은 휴대전화 접속 기반의 ‘추정 위치’일 뿐이라며 수사로 확인해야 한다는 입장이다. 또 파악된 고객에 대한 개별 안내는 완료됐고, 5일 새벽 비정상 결제 시도를 차단한 이후 추가 피해는 없다고 설명했다.

왜 중요한가: 이용자 관점의 체크리스트

소액결제는 금액이 작아 눈에 띄지 않는 대신 빈도 누적으로 체감 손실이 커지는 구조다. 따라서 사용자는 다음을 점검할 필요가 있다.

① 결제 통로 최소화: 통신사 간편결제·소액한도 기능을 미사용이면 비활성화.
② 알림 다중화: 통신사/앱 내 푸시 외에 문자·이메일 알림을 켜 중복 감시.
③ 본인확인 이력 조회: PASS·ARS·앱내 인증 기록을 주기적으로 확인.
④ 가족 회선 동시 점검: 동일 명의·결합상품 회선의 청구서를 함께 확인.

정책 측면에선 사고 영역별 통합 로깅과 ‘성공 시도’뿐 아니라 ‘차단된 시도’의 공개가 필요하다. 탐지된 공격의 분포가 공개돼야 지역·시간대·경로별 취약점이 줄어든다.

마지막으로: 숫자만으론 설명되지 않는 것

이번 사건의 본질은 ‘어디서 얼마나’보다 ‘어떻게 탐지·공개했는가’에 가깝다. 가장 늦게 잡히는 건 항상 집계의 사각지대다. KT가 말한 추정 위치의 한계, ARS에 치우친 분류, 뒤늦은 정정—all이 신뢰의 문제로 귀결된다. 피해자 맵보다 감시 체계의 로드맵이 먼저다.