당초 서울 서남권과 경기 남부권에서 발생한 것으로 알려진 KT의 무단 소액 결제 피해가 서울 서초구와 동작구, 경기 고양시 일산동구 등에서도 발생한 것으로 파악됐다. 피해 권역이 경찰 수사 범위보다 넓어지면서 전수조사의 필요성이 제기된다.
국회 과학기술정보방송통신위원회 소속 황정아 의원(더불어민주당)은 20일 KT가 제출한 인증 시간 기준 피해 지역 자료를 바탕으로 이 같은 내용을 공개했다. 자료에 따르면 지난달 5~11일 사이 공격자는 서울 서초구·동작구·관악구·영등포구 일대에서 총 18명을 대상으로 범행을 저질렀다. 해당 기간 공격자들은 총 32차례에 걸쳐 1189만 원어치의 소액 결제 피해를 입혔다. 이후 해킹 공격은 12~13일 경기 광명시에서 발생했고, 15일 서울 금천구, 20일 경기 고양시 일산동구, 21일 경기 과천시에서 일어났다. 이후 금천구, 광명시, 경기 부천시 소사구, 인천 부평구 등에서 피해가 일어났다.
이달 5일까지 소액 결제는 지속적으로 일어났으며 4일에도 83건이 발생했다. 앞서 KT는 4일과 5일에는 피해 건수가 없었다고 국회에 보고했지만 1차 발표에서 피해자 수를 278명으로 집계했다가 4일과 5일 피해를 포함해 362명이라고 정정하기도 했다.
이처럼 피해 현황이 자꾸 바뀌는 것은 당초 KT가 자동응답전화(ARS)에 국한해 자의적이고 소극적인 대응을 하고 있어서라는 지적도 나온다. 현재 KT는 ARS 신호를 탈취해 소액 결제에 성공한 사례만 집계하고 있다. 하지만 황 의원실에 제출한 자료에 따르면 패스(PASS) 인증 등으로 해킹이 이뤄졌다는 정황도 등장해 KT가 사건을 축소하려는 것 아니냐는 비판도 나온다.
황 의원은 “범행 지역과 시기에 대한 구체적 정보 등을 보다 빨리 공개했다면 도움이 됐을 사실이 많은데 이제야 주요 정보를 내놓는 것이 이해되지 않는다”며 “지금이라도 소액 결제가 이뤄진 모든 고객에게 직접 결제 현황을 고지하고 피해 전수조사에 나서야 한다”고 말했다.
한편 이번 KT 사례를 포함해 한국인터넷진흥원(KISA)에 접수된 기업의 정보 침해 신고 건수는 6년간 7198건에 달했다. 금융위원회 소관 금융사 해킹 사례까지 포함한 수치다. 연간으로는 2020년 603건에서 지난해 1887건까지 급증했고 올해는 이달까지 누적으로 이미 1649건으로 지난해 수준에 근접했다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
wise@sedaily.com
