KT 소액결제 미스터리... 당신이 잠든 사이, 사라진 돈

2025-09-09     박수남 기자
KT 소액결제 미스터리... 당신이 잠든 사이, 사라진 돈 (CEONEWS=박수남 기자)

[CEONEWS=박수남 기자] KT 소액결제 미스터리: 당신이 잠든 사이, 돈은 사라졌다

2025년 늦여름, 경기도 광명의 한 아파트 단지가 기묘한 침묵에 휩싸였다. 주민들이 잠든 새벽, 보이지 않는 손이 그들의 스마트폰을 조종해 수천만 원을 훔쳐 가는 전대미문의 사건이 발생했다. 피해자들은 하나같이 외쳤다. "나는 아무것도 클릭하지 않았다." 이것은 단순한 금융사기를 넘어, 우리의 디지털 일상을 지탱하는 시스템 자체에 대한 신뢰를 뒤흔드는 거대한 미스터리의 서막이었다.

2025년 8월 27일 새벽, 경기도 광명시에 사는 직장인 A씨는 잠에서 깨 스마트폰을 확인하다가 온몸이 굳었다. 밤사이 수십만 원어치의 문화상품권이 결제되었다는 문자 메시지가 연달아 와 있었다. 총피해액은 순식간에 불어났다. A씨를 가장 큰 혼란에 빠뜨린 것은, 그가 스미싱 예방 수칙을 철저히 지켰다는 사실이었다. 의심스러운 링크를 누른 적도, 정체불명의 앱을 깐 적도 없었다.  

A씨는 혼자가 아니었다. 비슷한 시각, 광명시 소하동과 하안동, 그리고 강 하나를 건너 서울 금천구의 특정 아파트 단지에서 동일한 피해가 동시다발적으로 발생했다. 피해자들은 모두 KT 통신사 또는 KT망을 쓰는 알뜰폰 가입자였다. 범행은 마치 유령처럼, 대부분의 사람들이 깊은 잠에 빠진 새벽 시간에 집중적으로 일어났다. 9월 초까지 경찰에 공식 집계된 피해자는 총 74명, 피해액은 4,580만 원에 달했다.  

이 사건은 기존의 스미싱(Smishing)과는 차원이 달랐다. 스미싱은 교묘한 문자로 사용자를 속여 악성 링크를 누르게 하는 '사용자 과실'을 전제로 한다. 하지만 이번 사건의 피해자들은 모두 "나는 아무 잘못도 하지 않았다"고 일관되게 진술했다. 이는 사용자의 행동 없이도 지갑이 털릴 수 있다는 '제로클릭(Zero-Click)' 공격의 공포를 현실로 만들었다. 이것은 수십 건의 개별 사기 사건이 아니라, 통신 시스템의 심장부를 겨눈 단 하나의 거대한 공격일 수 있다는 불안감이 사회 전반으로 퍼져나갔다.  

사건의 이례적인 특성에 경찰도 비상이 걸렸다. 경기남부경찰청 사이버수사대는 25명 규모의 전담팀을 꾸리고, 통신사와 결제 관련 업체에 대한 압수수색 영장을 신청하는 등 강제 수사에 착수했다. 수사의 칼날은 개별 범죄자를 넘어, 시스템 자체의 허점을 향하고 있었다. 수사팀과 보안 전문가들 사이에서는 여러 가설이 팽팽하게 맞섰다.  

시나리오 A: KT의 심장이 뚫렸나? 가장 끔찍한 시나리오는 해커가 KT의 핵심 통신망이나 결제 서버에 직접 침투했을 가능성이다. 모든 피해자가 KT망 사용자라는 점이 이 가설에 무게를 싣는다. 만약 사실이라면, 이는 국가 기간 통신망의 보안이 뚫렸다는 의미로, 그 파장은 상상을 초월할 것이다.  

시나리오 B: 내부에 적이 있었나? 외부 해킹의 전형적인 패턴과 달리 특정 지역에 피해가 집중된 점 때문에 '내부자 결탁' 가능성도 제기된다. 시스템 접근 권한을 가진 내부자가 특정 지역 가입자 정보를 빼돌려 범죄에 가담했을 수 있다는 추측이다.  

시나리오 C: 최첨단 기술의 등장? 사용자가 아무런 행동을 하지 않아도 메시지를 수신하는 것만으로 기기를 감염시키는 '제로클릭' 취약점 공격이나, 통신사 직원을 속여 전화번호를 복제하는 'SIM 스와핑' 같은 신종 수법이 동원되었을 가능성도 배제할 수 없다.

시나리오 D: 연결된 제3의 고리가 문제였나? 소액결제는 통신사, 결제대행사(PG), 콘텐츠 제공업체(CP)가 얽힌 복잡한 구조다. KT가 아닌, 연동된 파트너사의 시스템 취약점이 공격의 통로가 되었을 수도 있다.

원인이 무엇이든, 이번 사건은 "의심스러운 링크를 누르지 마세요"라는 개인 책임 중심의 보안 캠페인을 무력화시켰다. 이제 국민의 질문은 "내 스마트폰을 어떻게 지킬까?"에서 "나는 내 통신사를 믿을 수 있는가?"로 바뀌고 있다.  

진화하는 위협 앞에서 속수무책으로 당할 수만은 없다. 전문가들은 다층적인 방어 전략을 주문한다.

1단계: 기본 방어벽 세우기 (스마트폰 설정)

업데이트는 생명: 스마트폰 운영체제(OS)와 앱을 항상 최신 버전으로 유지하라. 자동 업데이트 설정은 필수다.  

잠금은 철저히: 지문, 얼굴 인식 등 강력한 화면 잠금을 설정하라.  

2단계 인증(2FA) 활성화: 비밀번호가 뚫려도 내 계정을 지키는 가장 강력한 방패다. 모든 주요 서비스에 반드시 설정하라.  

출처 불명 앱 차단: 공식 앱스토어가 아닌 곳에서 앱(APK 파일)을 설치하지 마라. 안드로이드폰은 '알 수 없는 출처의 앱 설치'를 비활성화하라.  

2단계: 인간 방화벽이 되어라 (디지털 회의론)

'멈춤, 생각, 확인' 원칙: 어떤 문자든 링크를 바로 누르지 마라. 해당 기관의 공식 사이트를 직접 찾아가거나 공식 번호로 전화해 확인하는 습관을 들여라.  

보안 앱 활용: V3, 알약M 같은 모바일 백신과 후스콜 같은 스팸 차단 앱은 기본이다. 경찰청의 '시티즌 코난' 앱도 큰 도움이 된다.  

3단계: 최후의 보루, 관문을 잠가라 (소액결제 차단)

가장 확실하고 근본적인 방법은 소액결제 기능을 통신사에서 직접 관리하는 것이다.

KT 사용자 필독: '마이케이티(My KT)' 앱이나 KT 홈페이지에 접속해 [마이페이지] → [요금조회] → [소액결제 내역]으로 들어가라. 여기서 한도를 '0원'으로 설정하거나 '이용 차단'을 신청하면 된다. 이것만으로도 대부분의 소액결제 사기를 원천 봉쇄할 수 있다. 정 어렵다면, 국번 없이  114에 전화해 즉시 차단을 요청하라.  

4장: 이미 당했다면? 골든타임을 놓치지 마라

만약 피해를 입었다면 당황하지 말고 즉시 행동해야 한다.

즉시 차단: 통신사(114)에 전화해 소액결제를 즉시 차단하고 피해 사실을 알려라.  

경찰 신고: 가까운 경찰서나 사이버범죄 신고시스템(ECRM)으로 신고하고, 범죄 피해 증거인 '사건사고 사실확인서'를 발급받아라.  

환불 요청: 통신사에서 '소액결제확인서'를 발급받은 뒤, '사건사고 사실확인서'와 함께 통신사에 제출하며 강력하게 환불을 요구하라.  

분쟁 조정 신청: 만약 환불이 거부되면, 방송통신위원회 산하 '통신분쟁조정위원회'에 조정을 신청하라. 이 위원회는 2023년 기준 89.6%의 높은 분쟁 해결률을 보이며, 소비자의 억울함을 풀어줄 마지막 희망이 될 수 있다.  

광명의 새벽을 할퀴고 간 이번 사건은 우리에게 뼈아픈 교훈을 남겼다. 디지털 시대의 안전은 더 이상 개인의 주의력에만 기댈 수 없다는 것이다. 사용자가 아무리 조심해도 시스템이 뚫리면 모든 것이 무너진다.

KT는 사과와 함께 상품권 결제 한도를 10만 원으로 축소하고, 정보보호 분야에 1조 원 투자를 약속하는 등 사태 수습에 나섰다. 하지만 이는 시작에 불과하다. 이번 사건은 기업과 정부에 더 무거운 책임을 요구한다. 시스템적 사기가 발생했을 때, 서비스 제공자가 시스템의 무결성을 입증하지 못하면 책임을 지도록 '입증 책임'을 전환해야 한다는 목소리가 높다.  

사이버 범죄는 계속해서 진화할 것이다. 그들과의 싸움에서 이기기 위해서는 우리 사회의 '보안 패러다임' 자체를 바꿔야 한다. 광명의 미스터리는 아직 풀리지 않았지만, 한 가지는 분명하다. 당신의 디지털 금고를 지키는 책임은 당신 혼자만의 몫이 아니며, 이제는 시스템을 만든 자들에게 그 책임을 물어야 할 때라는 강력한 경고음이 울리고 있다.