SBS Biz

[이통3사 개인정보 유출·해킹 (Sora 생성 이미지=연합뉴스)]

KT 무단 소액결제 사태와 관련해, 반복되는 통신사의 보안 불감증에 대한 비판이 커지고 있습니다. 특히 사후 대책을 마련해 시행중인 미국, EU와 달리 국내 통신사들은 근본적인 취약점을 개선하기보다는 허술한 ARS 인증을 고수하고, 분쟁시 앱스토어 운영자나 결제대행사(PG)에 책임을 돌려왔다는 지적이 나오고 있습니다. 

15일 이동통신 업계에 따르면 KT 사태와 유사하게 통신망 허점을 노린 결제 사고는 미국·일본 등 선진국에서도 종종 발생했습니다. 

대표적인 사례가 2022년 미국에서 발생한 암호화폐 거래소 FTX 해킹 사태입니다. AT&T의 본인인증 취약점을 노린 범죄였습니다 .

미국 법무부는 지난해 2월 FTX를 해킹해 4억1천500만 달러(5천146억 원) 상당의 가상화폐를 빼돌린 해커 일당 3명을 기소했다고 밝혔습니다. 

미국에서는 2019년에도 AT&T와 버라이즌 직원 및 협력업체 관계자가 뇌물을 받고 심 스와핑 범죄에 가담해 기소되기도 했습니다. 

일본에서는 2020년 점유율 1위 통신사 NTT도코모에서 운영하던 전자결제 서비스 '도코모 계좌'에서 대규모 부정인출 사건이 발생했습니다. 

공격자는 도용한 개인정보를 사용해 '도코모 계좌'를 만든 뒤, 다른 사람의 예금을 무단으로 인출했습니다. 

 미국과 일본은 이같은 사고가 발생한 후 보안 조치를 대폭 강화해 추가 피해를 막았습니다. 

미국은 2024년 SIM 교체나 번호 이동을 처리하기 전 신원확인 절차를 의무화했고, 이같은 시도가 발생하면 처리 전에 고객에게 반드시 통지하도록 했습니다. 

일본도 피해 발생 직후 신규 등록을 일괄 중단하고, 결제 계좌 개설 과정에서 2단계 인증을 도입해 본인확인 체계를 강화했습니다. 

유럽 국가들은 소액결제 사기 및 과다 청구 사례가 전 세계적으로 빈발하면서 다양한 안전장치를 마련해왔습니다. 

유럽연합(EU)은 2018년 이동통신 요금에 합산돼 청구되는 디지털 소액결제의 상한선을 건당 50유로, 월 300유로로 제한했습니다. 

영국도 구독형 서비스를 통한 사기·오인 가입 피해 사례가 잦아지자 2019년 유료 정기 결제 서비스 가입 시 2단계 동의를 의무화하고, 청구마다 이용자에게 영수증을 발송하게끔 규정을 개정했습니다. 

국내에서도 소액 결제의 허점을 악용한 전자금융사기나 스미싱 범죄 사례는 오래전부터 보고돼왔습니다. 국회 과학기술정보방송통신위원회 소속 이주희 의원(더불어민주당)이 과기정통부로부터 제출받은 자료에 따르면 지난해 휴대전화 소액결제 시장 규모는 6조6천938억원으로, 관련 민원 접수는 1만5천44건에 달했습니다. 

하지만 국내 통신 업계는 근본적인 취약점을 개선하기보다는 허술한 ARS 인증을 고수하고, 소비자 분쟁이 발생하면 앱스토어 운영자나 결제대행사(PG)에 책임을 돌려왔다는 비판에서 자유롭지 못할 전망입니다.