[기자수첩] KT가 막지 못한 건 해킹보다 불안

초기 부인·축소 반복하는 업계
늑장대응이 소비자 불안 키워

KT가 최근 불법 초소형 기지국(펨토셀)을 통한 소액결제 해킹 피해에 공식 사과했다. 재발 방지를 약속했지만, 그 과정을 돌이켜 보면 소극적인 대응이 문제를 키웠다는 생각을 지울 수 없다. 사태 초기, 단순 고객 실수로 치부하며 해킹 가능성을 부인했다가 뒤늦게 입장을 번복하면서 초동 조치와 피해 고지가 모두 늦어졌다.

경찰은 이달 초 KT에 무단 소액결제 피해 사실을 통보했지만 회사의 첫 반응은 '부인'이었다. 이후 피해 신고는 눈덩이처럼 쌓였다. 무려 나흘이 지난 뒤에야 비정상 결제 패턴을 걸러냈다. 열흘 만인 지난 11일에는 국제이동가입자식별번호(IMSI) 5561건이 유출됐을 가능성이 있다고 고개를 숙였다. 불법 기지국에 접속한 이력만 해도 1만9000명에 달한다. 이들 중 다수는 피해 여부조차 알지 못했다.

고객 고지도 미흡했다. 문자 안내 대신 홈페이지 공지에 의존하면서 다수 피해자는 직접 결제 내역을 확인해야만 사고 사실을 알 수 있었다. 초기에 신속히 차단하고 피해 고객에게 직접 경고했더라면 피해 규모는 지금보다 줄었을 것이다. KT는 유출된 정보가 IMSI에 한정된다고 했지만, 소액결제는 이름·전화번호·생년월일을 입력하고 자동응답전화(ARS) 인증까지 거쳐야 가능한 구조라 추가 개인정보 유출 가능성을 배제할 수 없다.

문제는 실제 개인정보 유출 피해를 보더라도 고객이 알 길이 없다는 데 있다. 통신 구조는 일반인에게는 '블랙박스'와 다름없다. 어떤 정보가 탈취됐는지, 얼마나 노출됐는지 앞으로 또 다른 피해가 생길지조차 개인이 파악할 방법이 없다. 결국 소비자는 통신사가 내놓는 해명과 번복을 그대로 받아들일 수밖에 없는 구조다. 정보 불균형은 고객 불안을 더욱 키운다.

정부 조사와 수사 결과가 나오기까지는 시간이 걸린다. 사고 원인 규명이 늦어지더라도 최소한 고객에게 "어떤 위험이 있고 어떤 조치를 취하고 있다"는 사실을 신속히 알렸어야 했다.

통신업계는 이미 여러 차례 같은 패턴을 반복해왔다. 보안 사고가 발생하면 처음에는 부인하거나 축소했다가 시간이 지나 피해가 불어날수록 뒤늦게 사실을 인정하고 대응책을 내놓는 식이다. 이번 사태에서 확인된 건 기술적 취약점만이 아니다. 반복되는 늑장 대응과 번복이야말로 소비자 불안을 키우는 주범이다. 통신사들이 과징금과 비난이 두려워 해킹 사실을 부인하고 안이하게 대응하는 동안 고객 피해는 더욱 커진다. 통신사가 막아야 할 것은 해킹만이 아니다. 고객이 느끼는 불안과 불신을 최소화하는 발 빠른 대처와 사태 수습이 우선이다.

박유진 기자 genie@asiae.co.kr