[현장] KT, 1년간 뚫린 통신망에도 위약금 면제는 '검토 중'

불법 기지국 305일간 방치하고도 고객 이탈 막기에만 급급
국회 "명백한 귀책사유" 지적에도 KT "조사 결과 보고 결정" 반복

이준현 기자

wtcloud83@alphabiz.co.kr | 2025-10-21 08:24:10

서울 한 KT대리점 모습. (사진=연합뉴스)

 

[알파경제=이준현 기자] KT가 불법 기지국을 통한 해킹 사태의 심각성을 뒤늦게 인정하면서도, 정작 전체 고객을 대상으로 한 위약금 면제에는 결단을 내리지 못하고 있다.

초기 4개로 발표했던 불법 기지국이 20개로 늘었고, 최초 침입 시점도 지난해 10월로 확인되는 등 피해 규모가 눈덩이처럼 불어났지만, KT는 여전히 "민관합동조사단 결과를 봐야 한다"는 원론적인 입장만 고수하고 있다.

◇ 305일간 감지 못한 침입

KT가 17일 공개한 전수조사에 따르면, 불법 펨토셀 접속이 처음 시작된 시점은 지난해 10월 8일로, 올해 9월 차단 조치까지 무려 305일간 KT 망 내부에서 활동했다.

이는 KT가 소액결제 피해를 인지하고 경찰로부터 통보받기 거의 1년 전부터 해커들의 침투가 시작됐다는 의미다.

서창석 KT 네트워크부문장은 브리핑에서 "모니터링 체계가 미흡했다"고 시인했다.

불법 기지국 ID는 당초 발표한 4개에서 20개로 5배 증가했고, 이들 기지국에 접속한 이력이 있는 고객은 2만2227명에 달한다. 직접적인 소액결제 피해자는 368명, 피해액은 2억4319만원으로 집계됐다.

KT의 펨토셀 관리 실태도 문제로 지적됐다. 약 18만9000대를 운영 중인 KT는 이 중 5만7000여대의 신호조차 파악하지 못하는 상태다.

타 통신사들이 일정 기간 미사용 장비를 자동 차단하는 시스템을 갖춘 것과 달리, KT는 펨토셀 유효기간을 10년으로 설정해놓고 방치했다. 여기에 서비스 해지된 펨토셀이 온라인 중고 시장에서 거래되는 상황까지 있는 것으로 알려졌다.
 

KT 무단 소액결제 사건 피의자 A씨(왼쪽)와 B씨가 25일 경기도 수원시 영통구 수원영통경찰서 유치장에서 검찰로 송치되고 있다. (사진=연합뉴스)


◇ 수도권 넘어 강원까지 피해지역 확산

피해 지역도 예상을 벗어났다. 초기 서울 금천구와 경기 광명·부천 등 수도권 일부로 알려졌던 피해는 강원도까지 확산됐다. 원주시에서만 무단 IMSI 접속이 75회, 강릉시 7회, 평창군 4회 등 총 91차례가 파악됐다.

이런 광역 피해 패턴은 범죄 조직이 차량에 불법 기지국 장비를 싣고 이동하며 가입자 정보를 무차별 수집하는 '워 드라이빙' 수법을 사용했음을 보여준다.

단순 개인 범죄가 아닌, 이동형 장비와 조직을 갖춘 전문 범죄 집단의 소행이라는 분석이 힘을 얻는 이유다.

그러나 범인들이 탈취한 IMSI 정보만으로 소액결제 본인 인증을 통과한 방법은 여전히 미스터리로 남아있다.

보안 전문가들은 유심 복제나 사전 유출된 개인정보 결합 등 추가 해킹 기법이 동원됐을 가능성을 제기한다. 이는 KT 내부 시스템에 또 다른 보안 구멍이 존재할 수 있다는 우려를 낳고 있다.
 

서창석 KT 네트워크 부문 부사장이 17일 서울 종로구 KT광화문빌딩 웨스트에서 소액결제 및 개인정보 유출 피해 관련 전수 조사 결과를 발표한 뒤 네트워크 기술 본부장 구재형 상무, 서비스 프로덕트 본부장 김영걸 상무, 이세정 상무와 함께 취재진의 질문에 답하고 있다. (사진=연합뉴스)


◇ SK텔레콤은 신속 결단, KT는 '조사 중' 반복

KT의 우유부단한 태도는 경쟁사와 극명한 대조를 이룬다.

SK텔레콤은 지난 4월 유심 해킹 사고 발생 후 석 달도 안 돼 위약금 면제를 단행했다.

해킹 사고일부터 약 석 달간 서비스를 해지한 고객에게 위약금을 면제했고, 통신요금 50% 할인과 데이터 무료 제공 등 총 5000억원 규모의 보상안을 내놨다.

과기정통부는 당시 SK텔레콤에 대해 "계정정보 관리 부실, 과거 침해사고 대응 미흡 등 문제점이 있어 이용약관상 위약금을 면제해야 하는 회사 귀책사유에 해당한다"고 판단했다.

국회 입법조사처도 최근 최민희 과방위원장에게 "KT에 위약금 면제가 가능한 귀책사유가 있다"는 의견을 냈다.

그러나 김영걸 KT 서비스프로덕트본부장은 17일 브리핑에서 "민관합동조사단 조사 결과와 고객 피해 상황을 고려해 검토하겠다"며 즉답을 회피했다.

현재 KT는 소액결제 피해 고객에 한해서만 위약금 면제 의사를 밝혔을 뿐, 전체 고객 대상 조치에는 입을 다물고 있다.

KT의 이런 태도에는 막대한 재무 부담에 대한 우려가 깔려있다. SK텔레콤이 위약금 면제와 보상으로 약 5000억원을 쏟아부은 점을 감안하면, KT 역시 1370만여 회선 가입자를 대상으로 위약금을 면제할 경우 유사한 규모의 비용이 예상된다.

SK텔레콤의 경우 실질적 금전 피해가 없었던 반면, KT는 2억4000만원 이상의 직접 피해가 발생했음에도 보상에는 소극적인 모순적 행보를 보이고 있다.

국회는 "KT 약관에는 회사 귀책사유가 있을 경우 위약금 면제가 가능하다고 명시돼 있다"며 "1년간 불법 기지국 접속을 감지하지 못한 것은 명백한 관리 부실"이라고 압박하고 있다.

황정아 더불어민주당 의원은 "KT가 국정감사에서도 추가 피해자를 숨기려 했다"며 "신뢰 회복을 위한 실질적 조치가 필요하다"고 지적했다.

결국 KT는 기술적 실패를 넘어 위기 대응의 실패까지 자초하고 있다. 1년간 뚫린 통신망을 방치한 책임은 인정하면서도, 고객 이탈로 인한 재무 손실을 우려해 위약금 면제 결정을 미루는 모습은 고객보다 회사 이익을 우선하는 것 아니냐는 비판을 피하기 어렵다.

과거 2012년과 2014년 대규모 개인정보 유출 사고 때도 실질적 책임을 지지 않았던 KT가, 이번에도 같은 전철을 밟으려 하는 것 아니냐는 의구심이 커지고 있다.

 

[ⓒ 알파경제. 무단전재-재배포 금지]