北·中이 연이어 쳐들어와도 “10년째 속절없이 당하기만”… ‘뻥’ 뚫린 대한민국 ‘속수무책’

북·중 배후 의심 해킹 급증
‘소액결제 무단 인출’까지 현실로
이통 3사 신뢰는 어디로 갔나

KT에서 불법 초소형 기지국을 통한 대규모 소액결제 피해가 발생했다. SK텔레콤 유심 해킹 사태에 이어 LG유플러스까지 개인정보 유출 의혹에 휘말리며, 이동통신 3사 모두 신뢰 위기에 놓였다.

최근 발생한 KT 사건은 불법 기지국이 사용자 정보를 빼내고, 이를 이용해 소액결제를 무단 승인한 것으로 확인됐다.

전문가들은 이번 사건이 단순 보안 사고를 넘어 통신 인프라 전체의 취약성을 드러낸 사례라고 지적하고 있다.

도심 속 몰래 설치된 해킹 기지국

KT 피해는 서울·경기 지역에 설치된 불법 초소형 기지국이 단말기 신호를 가로채면서 발생했다.

이 과정에서 약 5,561명의 고객 정보가 외부로 유출됐고, 실제로 278명은 총 1억7천만 원 규모의 소액결제 피해를 입었다.

KT는 피해 고객에게 유심 교체 및 결제 방식 변경을 안내했고, 정부 조사에 착수했다. 하지만 해킹 장비 실물은 아직 확보되지 않아 조사에 시간이 걸릴 것으로 보인다.

기존 해킹 방식과 달리, 이번 사태는 직접 서버 침투 없이 기지국을 통해 실제 금전 피해로 이어졌다는 점에서 큰 주목을 받고 있다.

해외는 막았는데… 국내는 매번 피해 반복

비슷한 해킹 피해는 미국과 일본에서도 있었다. 미국의 대형 통신사 AT&T의 인증 취약점을 악용해 암호화폐 거래소를 해킹한 사건이 있었고, 일본에선 전자결제 계좌를 통해 예금이 무단 인출된 사례가 있었다.

하지만 두 나라 모두 사고 직후 법·제도 정비에 나섰다. 미국은 SIM 교체 전 고객에게 알림을 의무화했고, 일본은 신규 등록 중단과 2단계 인증 도입 등 적극 대응했다.

유럽연합과 영국도 디지털 결제 상한선과 정기결제 인증 절차를 강화해 유사 피해를 최소화하고 있다.

반면 국내는 10년 전부터 소액결제 사기, 스미싱 등 피해가 계속되고 있지만, ARS 인증 등 취약한 방식이 여전히 사용되고 있다.

보안 전문가들은 “해외 사례를 참고해 제도적으로 선제 대응했더라면, 이번 피해는 막을 수 있었을 것”이라고 지적한다.

늦장 대응 반복… 신속 통지·예방 체계 필요

KT는 이번 사태를 정부에 공식 보고하기까지 며칠이 걸렸다. 피해 통보 역시 문자 안내에 그쳐, 신속성이나 대응의 적절성에서 비판을 피하기 어렵다.

통신사들은 연이은 해킹 사건 이후 보안 투자 확대 방안을 발표했지만, 구체적인 개선 내용은 불투명하다.

통신 3사는 유심 교체, 인증 방식 강화, 결제 한도 하향 조정 등 사후 대책을 내놓았으나, 근본적인 보안 구조 개선은 미흡하다는 평가다.

전문가들은 실시간 경보 체계 도입, SIM 스와핑 방지 기술 적용, 사용자 중심의 보안 정책 설계 등 보다 구조적인 접근이 필요하다고 강조한다.

‘뻥’ 뚫린 지금, 다음은 어디일까

올해 들어서만 통신사를 포함한 해킹 사고가 연이어 발생했다. SK텔레콤, KT, 금융사, 콘텐츠 플랫폼까지 해킹 공격 대상이 확대되는 추세다.

상당수 사례는 북한이나 중국과 연관된 조직 소행으로 추정된다. 이러한 상황에서 단순히 사건이 발생한 뒤 수습하는 방식만으로는 한계가 명확하다.

통신 보안은 산업 문제를 넘어 국민 생활과 직결된 영역이다. 정부와 민간이 함께 대응 전략을 강화해야 한다는 지적이 커지고 있다.

실제 금전 피해가 발생한 이상, ‘예방’은 선택이 아니라 필수라는 인식이 필요하다. 반복되는 해킹 피해를 줄이기 위해, 제도와 기술, 대응 체계를 전면 재정비할 시점이다.