[알파경제=이준현 기자] 10일까지 "개인정보 유출 정황이 없다"고 단언하던 KT가 11일 김영섭 대표의 대국민 사과와 함께 5561명의 가입자 식별정보 유출을 인정했다.

이 과정에서 쏟아진 9만여 건의 고객 문의는 실제 피해 규모에 대한 의혹을 키우며 논란이 일고 있다.

◇ "그런 일 없다"던 KT, 결국 김영섭 대표 대국민 사과

KT의 이번 사태 대응은 전형적인 '부인→축소→뒤늦은 사과' 패턴을 보여줬다.

지난달 27일 첫 피해 신고가 접수된 후, 경찰이 1일과 2일 두 차례에 걸쳐 이상 징후를 통보했지만 KT는 "그런 일은 일어날 수 없다"며 일축했다.

이어 5일 새벽 비정상적인 소액결제 시도를 차단했음에도 이를 단순한 '스미싱 감염'으로 치부하며 침해 사고 신고를 하지 않았다.

한국인터넷진흥원(KISA)에 정식 신고한 것은 8일 오후, 첫 피해 발생으로부터 무려 13일이 지난 후였다.

더불어민주당 황정아 의원실이 KT로부터 제출받은 자료에 따르면, 11일 오후 6시 기준 소액결제 관련 고객 문의는 9만2034건에 달했다.

이는 작년 한 해 휴대전화 소액결제 시장 전체 민원 1만5044건보다 6배나 많은 수치다.

KT가 자체적으로 파악한 피해자 278명과는 차원이 다른 규모의 불안과 혼란이 확산된 것이다.

특히 일부 피해 지역이 취약계층 거주 지역이라 우편물 고지서를 받고 나서야 피해 사실을 알게 되는 '그림자 피해'까지 우려되는 상황이다.

실제로 피해자들이 모인 온라인 채팅방에서는 소액결제 피해 이전부터 휴대전화에서 각종 이상 현상이 감지됐다는 증언들이 나오고 있다.
 

◇ 내부자 소행 가능성 짙어지는 '유령 기지국' 사건

이번 사건의 가장 큰 의혹은 해커들이 어떻게 KT의 초소형 기지국(펨토셀)을 불법 취득해 정교한 범행을 저질렀느냐는 점이다.

구재형 KT 네트워크기술본부장은 11일 기자간담회에서 "불법 초소형 기지국이 KT망에 접속했다는 건 기존에 연동된 장비였다고 추정한다"며 "해커가 통신에 상당한 지식이 있는 것으로 보인다"고 밝혔다.

전문가들은 한목소리로 내부자 연루 가능성을 제기하고 있다.

이번 해킹에 사용된 불법 기지국이 KT망과 연결되려면 해당 통신사 전용 소프트웨어가 반드시 필요하다. 이는 외부인이 쉽게 구할 수 없는 기술적 요소다.

해커들은 KT에서 처분하거나 분실 처리된 초소형 기지국을 악용했을 가능성이 높다는 분석이 나온다.

또한 기존 설치된 소형 기지국을 비활성화하고 불초소형 기지국을 설치했을 가능성도 제기된다.

KT에서 쓰이는 소프트웨어가 없이는 KT망 접속이 불가능하고, 기존 소형 기지국의 비밀번호가 '0000' 식으로 허술하게 관리되는 경우가 많다는 점도 내부 사정에 정통한 자의 소행이라는 분석이 지배적이다.

KT새노조는 "현장 직원에 따르면 고객이 인터넷을 해지하거나 이사할 때 가정에 설치된 초소형 기지국이 제대로 회수되지 않는 경우가 빈번하다"며 "해커가 비교적 쉽게 초소형 기지국을 입수해 범죄에 악용할 수 있는 환경이 조성된 것"이라고 지적했다.

KT가 운영 중인 초소형 기지국만 15만7000개에 달하는 상황에서 관리 체계의 허점이 드러난 것이다.

지난해 대규모 구조조정의 영향도 거론된다.

황태선 KT 정보보안실장은 "희망퇴직 프로그램에 보안인력이 20여명 포함됐으나 주로 컴플라이언스 담당자"라고 해명했지만, 조직 내 불만이나 정보 유출 가능성을 완전히 배제하기는 어려운 상황이다.
 

◇ "소 잃고도 외양간조차 안 고치는 건 더 심각한 문제"

2025년의 '유령 기지국' 사태는 KT의 보안 실패 역사에서 가장 최근 한 페이지일 뿐이다.

2003년 슬래머 웜 바이러스로 전국 인터넷망이 9시간 마비된 이후, KT는 2012년 870만명, 2014년 1200만명의 개인정보 유출이라는 대형 사고를 연이어 터뜨렸다.

특히 2014년 사건에서 해커들이 사용한 것은 누구나 쉽게 구할 수 있는 '파로스 프록시'라는 공개 프로그램이었다.

이는 KT가 "보안의 기본도 지키지 않았다"는 혹독한 비판을 받았다. 당시 표현명 KT 개인고객부문 사장은 "세계 최고 수준의 보안 인프라를 갖춘 기업으로 거듭나겠다"고 공언했지만, 11년이 지난 지금도 같은 패턴이 반복되고 있다.

더욱 충격적인 것은 KT가 이 같은 대형 사고에도 불구하고 실질적인 책임을 지지 않았다는 점이다. 2012년과 2014년 수많은 피해자가 손해배상 소송을 제기했지만, 법원은 최종적으로 KT의 손을 들어줬다.

반면 KT는 2025년 2분기에만 1조148억원이라는 사상 최대 영업이익을 기록했다. 손해배상 소송에서도 승소하고 과징금 부과처분까지 취소받은 결과, 기업에게는 보안 투자보다 사후 법적 대응이 훨씬 경제적이라는 잘못된 신호를 보낸 셈이다.

이런 상황에서 이재명 대통령의 직격탄이 터졌다.

11일 수석보좌관회의에서 이 대통령은 "소를 잃는 것도 문제지만 소 잃고도 외양간조차 안 고치는 건 더 심각한 문제"라며 "일부에서 사건 축소, 은폐 의혹도 제기되는데 분명히 밝혀서 책임을 물어야 한다"고 강조했다.

특히 "기업은 보안투자를 불필요한 비용이라고 생각하지 않는지 되돌아봐야 한다"는 지적은 그동안 KT가 보여온 행태를 정면으로 비판한 것이다.

과기정통부가 민관합동조사단을 구성해 조사에 착수한 것도 이번에는 과거와 다른 결과를 만들겠다는 의지로 해석된다.

KT는 이번에 피해액 100% 보상과 유심 무료 교체, 위약금 면제 등을 약속했다. 하지만 반복된 역사를 고려할 때, 근본적인 보안 체계 개혁 없이는 또 다른 '데자뷰'가 반복될 수밖에 없다는 우려가 커지고 있다.

 

[ⓒ 알파경제. 무단전재-재배포 금지]