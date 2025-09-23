KT 무단 소액결제 사건으로 국민 우려가 커지는 가운데, 13년 전 초소형 기지국(펨토셀)의 보안 취약성에 대한 경고가 있었던 것으로 드러났다. 정부는 개인정보 보호를 최고경영자(CEO)의 책임으로 명확히 하고 관련 점검을 강화하기로 했다.

23일 국회 과학기술정보통신위원회 소속 국민의힘 이상휘 의원에 따르면 한국인터넷진흥원(KISA)은 2012년 ‘펨토셀 및 GRX 보안 취약점에 대한 연구’를 수행했다. 연구 보고서에 담긴 29가지 위협 중에는 이번 KT 소액결제 피해의 원인으로 지목되는 사용자의 인증토큰 복제, 통신을 주고받는 두 주체 사이에 공격자가 몰래 개입하여 정보를 가로채거나 조작하는 중간자(MITM) 공격 가능성도 포함돼 있었다. 다만 연구 성과가 실제 보안 대책으로 이어졌는지는 확인되지 않았다.



KT가 이미 피해 징후가 있었지만, 즉각 대응에 나서지 않았다는 지적도 제기됐다. 국회 과방위 소속 국민의힘 박정훈 의원이 KT로부터 제출받은 자료를 보면 KT 고객센터에 지난달 27일부터 이달 2일까지 총 6건의 소액결제 피해신고가 들어왔다. 최초 신고는 지난달 27일 오전 9시11분이었지만, KT는 경찰이 이달 1∼2일 소액결제 피해사례를 분석해 달라는 의뢰를 받은 뒤에야 이들 민원 6건에서 비정상 결제가 이뤄진 사실을 파악했다. 피해 신고가 접수되고 소액결제 차단 조치를 취하기까지는 닷새 이상 소요됐다.



경찰이 파악한 KT 무단 소액결제 피해 사건 피해 사례도 점점 늘고 있다. 경기남부경찰청 사이버수사과에 따르면 지난 22일 오후 6시 기준 KT 소액결제 피해자는 214명, 피해액은 1억3650여만원으로 집계됐다. 이는 지난 18일(200명·1억2790여만원)보다 14건 늘어난 것이다. 앞서 KT는 이달 11일 피해 규모를 278명에 1억7000여만원으로 발표했다가 일주일 만인 18일 362명에 2억4000여만원으로 정정했다. 경찰은 KT가 집계한 피해액이 경찰 수사보다 2배가량 많은 점을 들어 KT 자료를 받아 유사성 검토를 마친 뒤 최종 피해 규모를 산정할 계획이다.

과학기술정보통신부는 이날 서울 송파구 한국정보보호산업협회에서 국내 주요 기업 정보보호최고책임자(CISO)를 대상으로 긴급 보안점검 회의를 열고 각 기업의 정보보호 체계를 살폈다. 회의를 주재한 류제명 과기정통부 제2차관은 각 기업에 대해 자체 보안 점검을 철저하고 신속하게 실시하여 과기정통부에 회신할 것을 요구했다. 당국은 특히 정보보호가 CEO가 직접 책임지는 사안으로 관리되고 있는지, CISO가 충분한 권한을 보장받고 있는지, 이사회와 경영진이 보안 업무에 적극 관여하는지를 집중 점검한 것으로 전해졌다.

