‘KT 소액결제’ 중국인들 “윗선이 시켜서”…개인정보·ARS 인증 등 수수께끼 [오상도의 경기유랑]

입력 : 2025-09-18 16:52:32
수정 : 2025-09-18 16:52:32

구글 네이버 유튜브

피의자 “중국인 윗선이 시킨 대로 했다”…구체적 신상 몰라
기획·지시 ‘中 윗선’ 가능성 대두…수사 난항, 갈수록 ‘미궁’
중국發 ‘보이스 피싱’ 이어 ‘불법 기지국 해킹’ 확산 가능성
중국인 공범 중 한 명은 한국어 구사 어려워…구속 적부심
불법 기지국·개인정보 유출·ARS 인증 등 여전히 수수께끼

‘KT 무단 소액결제 사건’의 피의자가 개인정보 탈취 경위를 두고 “시키는 대로 했다”고 밝히면서 혼선이 빚어지고 있다.

만약, 중국에 윗선이 실제로 존재하고, 이 윗선이 모듬 범죄를 계획하고 지휘했다면 여진이 커질 것으로 보인다. 기존 보이스피싱 기법의 사기를 뛰어넘는 신개념 해킹 기법이 이미 국내에 뿌리를 내렸을 가능성도 배제할 수 없다. 중국의 일당을 잡기 위한 수사 역시 다시 시작해야 한다.

KT 소액결제 사건의 피의자인 중국동포 A씨(왼쪽)와 B씨가 18일 구속 전 피의자 심문(영장실질심사)에 출석하기 위해 경기 수원영통경찰서를 나오고 있다. 연합뉴스

KT 이용자들의 휴대전화를 해킹해 소액결제를 한 혐의를 받는 중국동포 A씨(48)는 18일 오전 구속 전 피의자 심문(영장실질심사)에 출석하기 위해 수원지법 안산지원으로 들어서면서 범죄 경위를 묻는 취재진에게 이같이 답했다.

그는 고개를 푹 숙인 채 ‘누구의 지시를 받은 건가’라는 질문에는 “모른다”고 재차 답변했다. 이어 ‘불법 초소형 기지국(펨토셀)은 어디서 구했나’, ‘피해자들 개인정보를 어떻게 알았나’, ‘수도권을 노린 이유가 뭔가’라는 물음에 침묵했다.

범죄수익을 현금화한 혐의를 받는 공범 B(44)씨는 ‘통신사에서 일한 적이 있나’, ‘KT 내부자와 관계가 있나’, ‘(A씨와) 둘이 공모했나’ 등의 질문에 답하지 않았다. A씨와 달리 B씨는 한국어를 전혀 구사하지 못하는 것으로 알려졌다.

KT 소액결제 사건 피의자인 중국동포 A씨가 16일 인천공항을 통해 재입국한 직후 검거되고 있다. 경기남부경찰청 제공

◆ ‘中 윗선’ 가능성에 무게…조직화·고도화 범죄 대응 과제

수사를 담당한 경기남부경찰청 사이버수사과는 중국에 윗선’이 있다는 A씨의 진술에 신빙성이 높은 것으로 보고 있다. A씨는 경찰 조사에서 윗선인 C씨의 신상정보에 대해 알고 있는 대로 구체적으로 진술한 것으로 전해졌다. 중국에서 만난 적이 있다고 말했으나 C씨의 신원은 특정되지 않았다.

경찰은 경기 광명시 소하동 일대에 사는 피해자들로부터 지난달 27~31일 새벽 시간대 모르는 사이에 휴대전화에서 소액결제로 수십만원이 빠져나갔다는 신고들을 접수해 수사에 착수했다.

이런 사실은 이달 4일 언론 보도를 통해 처음 세상에 알려졌고 이후 광명과 인접한 서울 금천, 인천 부평, 경기 부천과 과천 등에서도 비슷한 피해를 봤다는 신고가 잇따랐다.

경찰이 집계한 피해 규모는 지난 15일 기준 200건에 피해금 1억2000여만원이지만, KT가 자체 파악한 규모는 278건에 1억7000만원 상당으로 차이를 보인다.

경찰은 지난 16일 인천국제공항과 서울시 영등포구에서 A씨와 B씨를 잇달아 붙잡았다. 경찰은 재입국한 A씨에 대해 정보통신망법 위반(침해) 및 컴퓨터 등 사용 사기 혐의를, B씨에 대해서는 컴퓨터 등 사용 사기 및 범죄수익 은닉규제법 위반 혐의를 각각 적용해 17일 구속영장을 신청했다.

이번 사건에선 이전과 달라진 고도화 된 범행 수법에 관심이 쏠린다.

용의자들은 불법 초소형 기지국을 이용해 해킹한 정황이 드러났다. 이렇게 탈취한 신호를 어떤 방식으로 활용해 본인 인증 절차를 뚫고 결제에 성공했는지 밝히는 데 수사가 집중될 것으로 보인다. 경찰은 KT 내부 조력자 여부에 대해선 가능성이 적은 것으로 판단했다.

A씨는 지난달 말부터 이달 초까지 불법 소형 기지국 장비를 승합차에 싣고 다니면서 확인되지 않은 방법으로 KT 이용자들의 휴대전화를 해킹해 모바일 상품권 구매, 교통카드 충전 등의 소액결제를 한 것으로 파악했다. 조력자가 있었는지는 확인되지 않았다. B씨는 소액결제 건을 현금화한 혐의를 받는다.

◆ 불법 기지국 등 수수께끼…“이젠 ARS 인증도 못 믿어”

이들이 사용한 소형 기지국 장비는 각종 설비와 안테나 등으로 이뤄졌는데 경찰은 구체적으로 이 장비가 어떻게 무단 소액결제에 활용됐는지 아직 파악하지 못했다. 이 같은 불법 펨토셀은 모두 2개가 적발됐다. 이를 통해 고객 5561명의 가입자식별번호(IMSI)가 유출된 것으로 전해졌다.

이 불법 펨토셀은 KT의 초소형 기지국 체계를 따랐지만, 자사 관리망에는 등록되지 않았다. 운영 중인 펨토셀이 해킹된 정황 역시 나오지 않았다. 과거 KT에서 운영하던 장비를 A씨 등이 입수해 범행에 사용됐을 가능성이 제기되는 데 KT가 운영하는 1.8㎓의 고대역 주파수 펨토셀은 15만여대가 있고, 관리 역시 철저하지 않은 것으로 파악됐다.

구재형 KT 네트워크부문 네트워크기술본부장이 18일 서울 종로구 KT광화문빌딩에서 열린 KT 소액결제 피해 관련 대응 현황 발표 기자회견에서 허리를 숙여 사과하고 있다. 연합뉴스

한 KT 직원은 “통신 속도를 높이기 위해 집에 펨토셀을 설치했다가 이사 갈 때 KT에 수거를 요청해도 가져가지 않는 경우가 많았다”며 “이럴 경우 빈집이나 상점에 방치된다”고 전했다.

국내 중고 제품 판매 사이트에서 구매하거나 불법 제조 또는 변조된 장비를 제3자로부터 입수해 범행에 사용했을 가능성도 배제할 순 없다.

파악된 범죄 행위 모두 ARS 인증을 거쳤다는 점도 수수께끼다. ARS 인증을 통한 소액결제에는 이름과 휴대전화 번호, 생년월일 등이 필요하다. 이러한 개인정보를 입력한 뒤 휴대전화로 걸려 오는 ARS 전화를 받고 인증번호를 듣거나, 지정된 숫자를 입력하는 식으로 본인 확인이 이뤄진다. A씨의 경우 불법 펨토셀을 통해 피해자의 휴대전화 통신 신호를 가로챘을 것으로 추정된다.

피해자의 이름 등 개인정보를 알아낸 뒤 소액결제 신청을 하고, 피해자의 휴대전화로 가는 ARS 전화를 가로채 대신 받은 뒤 본인 확인 절차를 대신 수행해 무단 결제했다는 가정이 가능하다.

오상도 기자