KT·LG유플러스 개인정보 유출 의혹 확산…KT 소액결제 피해까지 겹쳐 보안 불신 고조

통신업계 전체가 심각한 보안 불안에 휩싸였다. 2025년 9월 10일, 개인정보보호위원회가 KT와 LG유플러스의 개인정보 유출 정황에 대한 공식 조사를 착수한다고 발표하면서 상황은 새로운 국면을 맞았다. 이번 발표는 해외 보안 전문 매체 ‘프랙(Phrack)’에서 두 통신사의 내부 데이터 유출 가능성을 구체적으로 지적한 것이 직접적인 계기가 되었고, 동시에 수도권에서 연이어 발생한 KT 소액결제 피해 사건이 간접적인 압력으로 작용했다.

1. 해외 보안 보고서에서 KT와 LG유플러스 내부 데이터 노출 정황이 드러났다.  
2. 수도권 일대 KT 이용자들이 소액결제 사기를 당하면서 사회적 불안이 커졌다.  
3. 이 두 사건이 겹치며 정부는 본격적인 조사에 착수했다.  

프랙이 공개한 보고서에는 민감한 정보가 구체적으로 포함되어 있었다. LG유플러스 관련 자료에서는 협력사 서버 접근 제어 정보, 수천 대 서버 데이터와 수만 개의 계정, 심지어 임직원 개인정보까지 언급되었다. KT 역시 SSL 인증서와 개인키 파일이 외부로 유출된 정황이 지적되었다. 이는 단순한 보안 구멍이 아니라, 핵심 인프라 자체가 공격 대상이 되었음을 보여주는 위험 신호였다. 과학기술정보통신부와 한국인터넷진흥원은 즉각 현장 점검과 포렌식 조사를 시작했고, 개인정보보호위원회까지 합류하면서 두 통신사는 동시다발적인 정부 조사에 직면하게 되었다.

한편, KT 고객들을 노린 소액결제 사기 사건은 불신을 극대화시켰다. 경기 광명에 거주하는 한 사용자는 새벽 시간대에 본인이 결제하지 않은 수십만 원 규모의 결제 알림을 연달아 받았다. 경찰 조사에 따르면 같은 시간 광명, 금천, 부천 지역에서만 120건이 넘는 피해가 발생했으며, 피해액은 약 8천만 원에 달했다. 범행 패턴은 피해자들이 단말기를 사용하지 않는 새벽 시간대를 노렸고, 인증 절차가 중간에서 탈취된 것으로 드러났다.

보안 업계가 주목하는 부분은 ‘유령 기지국’ 개입 가능성이다. 정상 기지국을 위장해 단말기를 속이고 통신을 가로채는 장치인 유령 기지국은 ARS 인증이나 문자 인증을 탈취할 수 있다. 이번 사건은 국내에서 이 장치가 실제 해킹에 활용된 첫 사례로 기록될 가능성이 높아, 업계 전문가들은 강한 경각심을 드러내고 있다.  

KT는 과거에도 소액결제 사기 문제로 곤란을 겪은 바 있다. 2010년대 중반, 피싱 문자와 인증 절차를 악용한 범죄로 수천 명이 피해를 입었고, 이후 통신사는 알림 서비스 강화와 결제 한도 조정으로 대응했었다. 하지만 이번 사건은 단순한 피싱을 넘어 기지국 자체가 공격 수단으로 활용되었다는 점에서 전례 없는 심각성을 보여준다.

다른 통신사 사례 역시 안전지대가 아님을 입증한다. SK텔레콤은 과거 대규모 개인정보 유출로 법적 소송을 겪었고, 법원은 관리 책임을 인정했다. 이는 통신사가 개인정보 보호에 실패할 경우, 단순한 이미지 실추를 넘어 법적 배상 의무까지 지게 된다는 선례가 되었다. 따라서 이번 KT·LG유플러스 건도 실제 유출이 확인된다면 대규모 소송으로 이어질 수 있다.

KT와 LG유플러스는 “자체 조사에서는 유출 흔적이 없다”는 입장을 고수하고 있다. 그러나 보안 전문가들은 기업의 자체 점검만으로는 신뢰성이 담보되지 않는다며, 외부 기관의 전수 조사와 포렌식 결과가 핵심이라고 강조한다. 현재 국회에서는 기업이 자진 신고를 하지 않아도 강제 조사가 가능하도록 법 개정을 논의 중이다.  

이번 사태의 본질은 두 가지 성격의 위협이 동시에 터졌다는 점이다. KT 소액결제 사건은 기지국 기반 인증 탈취 공격이고, 개인정보 유출 의혹은 기업 내부 시스템 침해다. 성격은 다르지만 국민 입장에서는 모두 피해로 직결된다. 결국 이 두 사건은 서로 얽히며 통신 보안 전반에 대한 신뢰 붕괴를 불러왔다.

앞으로 조사의 핵심은 두 가지다. 첫째, 프랙 보고서에 제시된 데이터가 실제로 유출된 것인지, 그리고 유출 경로는 어디인지 확인하는 일이다. 둘째, 유령 기지국이 실제로 범행에 쓰였는지, 어떤 방식으로 인증을 가로챘는지를 규명하는 것이다. 이 부분이 명확히 밝혀져야만 국민 불안을 해소할 수 있다.  

결국 이번 사건은 단순한 기술적 문제가 아니라, 통신사와 정부가 국민의 개인정보와 재산을 어떻게 지킬 것인지 근본적인 해답을 요구한다. 이용자들은 단기적으로 소액결제 한도 제한과 알림 서비스 활성화를 통해 자구책을 마련해야 하며, 기업과 정부는 장기적으로 인증 체계 전면 개편과 법 제도 개선에 나서야 한다. 이번 위기는 한국 통신 보안의 신뢰도가 어디까지 흔들릴 수 있는지를 여실히 보여주는 경고다.