[디지털 신뢰 위기 보고서] ①KT해킹...소액결제의 작은 구멍, 거대한 신뢰의 손실

“천하의 대기업도 작은 구멍에서 무너진다.”

최근 KT에서 발생한 소액결제 보안 사고는 이 문장을 실감케 한다. 광명·금천 지역을 중심으로 다수 고객이 본인도 모르는 결제를 당했다는 신고가 잇따랐다. 그러나 더 큰 문제는 사고 자체보다 기업의 대응 태도였다. 초기에는 피해 사실을 부인하다가 여론이 커지자 뒤늦게 소액결제 한도를 하향 조정하는 식의 임시방편만 내놨다. 고객 입장에서는 “내 정보가 털렸는지, 돈이 빠져나갔는지” 불안한데, 기업은 마치 남의 일처럼 굴었던 셈이다.

소액결제 피해는 몇 천 원, 몇 만 원일 수 있다.

그러나 고객 입장에서는 금액의 많고 적음이 중요한 게 아니다. “내 의사와 상관없이 돈이 빠져나갔다”는 경험 자체가 신뢰를 무너뜨린다. 통신사는 단순 서비스 제공자가 아니라, 금융과 인증의 기반을 함께 관리하는 신뢰기관으로 인식된다. 따라서 소액결제 시스템의 허점은 “내 휴대폰과 본인인증 체계 전체가 안전한가?”라는 근본적 의심으로 번진다.

사고 발생 후 KT의 초기 태도는 “시스템 문제는 아니다”라는 부인에 가까웠다.

전문가들은 이를 위기 커뮤니케이션 실패의 전형적 사례로 본다. 정보보호학회 관계자는 “보안은 완벽할 수 없다. 중요한 건 사고를 어떻게 인지하고 얼마나 투명하게 공개하며 신속히 대응하느냐”라며 “KT의 경우 피해 규모와 원인을 빠르게 명확히 밝히지 않아 고객 불신만 키웠다”고 지적한다.

기술적 허점도 분명하다.

한국 통신사의 소액결제 시스템은 여전히 SMS 문자 인증 같은 1차적 수단에 크게 의존한다. 그러나 스미싱·피싱·가짜 기지국 공격으로 문자 인증의 취약성은 이미 충분히 입증됐다. 또한 이상거래탐지(FDS) 시스템이 제대로 작동하지 않았다는 의혹도 있다. 한 보안 스타트업 대표는 “누가, 언제, 어떤 단말기에서 결제를 요청했는지 분석하면 비정상 패턴을 걸러낼 수 있다”며 “이번 사고는 탐지 체계보다 피해자의 항의가 먼저였다는 점에서 구조적 한계를 드러낸다”고 말했다.

이 사건은 단순히 소액결제 기능 하나의 문제가 아니다.

고객 데이터와 인증 체계 전반에 대한 불신은 통신사가 추진하는 모든 신사업—핀테크, 구독 서비스, 헬스케어—에 악영향을 미친다. 신뢰를 잃은 고객은 새로운 서비스를 맡기려 하지 않는다. 규제 리스크도 커진다. 금융 당국과 과기정통부가 조사에 착수할 경우, KT는 단순 보상금이 아니라 구조적 개선 명령을 받을 수 있다. 전문가들은 “소비자 피해, 규제 제재, 이미지 추락”의 삼중고를 경고한다.

보안 전문가들은 이번 사건을 계기로 KT가 세 가지를 반드시 개선해야 한다고 조언한다.

첫째, 고객 신고가 아니라 시스템이 먼저 비정상 결제를 잡아내도록 탐지 체계를 실시간화해야 한다. 머신러닝 기반 이상징후 탐지 기술이 대안으로 거론된다. 둘째, 위기 커뮤니케이션을 전문화해야 한다. 피해를 축소하거나 부인하는 대신, 고객에게 신속하고 투명하게 알리고 보상 프로세스를 제시하는 것이 기업 신뢰를 지키는 길이다. 셋째, 사용자 친화적인 보안 UX가 필요하다. 생체인증이나 행동기반 인증 같은 방식을 통해 고객이 번거롭지 않으면서도 안전하게 결제할 수 있도록 해야 한다. 

KT의 소액결제 사고는 “소액이라 대수롭지 않다”는 인식을 정면으로 뒤집었다.

보안의 작은 허점이 기업 전체 신뢰를 무너뜨린다는 사실을 보여줬다. 전문가들의 지적처럼, 보안은 더 이상 IT부서의 전담 영역이 아니라 기업 생존 전략이다. KT가 이번 사건을 전화위복의 기회로 삼아 보안 리더십을 확립할지, 아니면 또다시 반복되는 사고의 이름으로 기억될지는 지금부터의 선택에 달려 있다.

금몽전 기자  kmj@kmjournal.net