KT의 휴대전화 무단 '소액 결제 해킹' 피해가 서울 서초구·동작구, 경기 고양시 일산동구 등에서도 발생했던 것으로 뒤늦게 파악됐다.
지금까지 피해지로 알려진 곳은 경기 광명·부천·과천, 서울 금천·영등포, 인천 부평 등이었다.
KT는 자사 서버 공격 사실을 인지하고도 3일 뒤에 당국에 신고해 논란이 되고 있다.
22일 KT가 국회 과학기술정보방송통신위원회 황정아 의원에게 제출한 '인증 시간 기준' 소액결제 피해지 자료에 따르면 그동안 알려진 곳 외에 동작·서초구, 고양시 일산동구가 포함됐다.
KT의 소액결제 피해 내용을 시점별로 보면 다음과 같다.
KT가 맨처음 피해를 입은 때는 9월 5~8일이었다. 이 기간에 동작구, 관악구, 영등포구에서 15명이 26차례에 걸쳐 962만 원의 피해를 봤다.
이어 ▲9일, 11일 서초구에서 3명이 6차례 227만 원 ▲12∼13일 광명시 ▲15일 금천구 ▲20일 고양시 일산동구 ▲21일 과천시에서 무단 결제가 발생했다.
이어 26일부터 광명시, 금천구, 경기 부천시 소사구, 인천 부평구 등에서 피해를 입었다. 이 내용은 KT가 가장 먼저 밝혀 언론을 통해 잘 알려져 있다.
이를 종합하면 처음 알려졌던 것보다 피해지가 더 넓어졌다. 알려지지 않고 이번에 알려진 것들을 감안하면 동시다발적으로 발생했다.
이에 따라 소액결제 피해자는 278명에서 362명으로, 피해액은 1억 7000만원에서 2억 4000만원으로 늘었다.
황 의원은 "KT가 범행 지역과 시기 등 구체적인 정보를 보다 빨리 공개했다면 수사에 도움이 됐을 사실들도 많은데 이제야 찔끔찔끔 주요 정보를 내놓는 것이 이해되지 않는다"고 비판했다.
KT는 사건 직후 해커들이 소액결제 인증 수단 중 하나인 ARS(자동응답전화) 신호를 탈취한 사례만 피해로 인정해 피해 축소 의혹도 받고 있다.
하지만 서울의 상당수 피해자는 생체 인증이 필요한 패스(PASS) 인증과 카카오톡 인증 등 다른 인증 수단에서도 무단 로그인이 됐다고 주장했다.
KT는 또 초소형 기지국으로 빼돌린 정보만으로는 소액결제가 불가능해 범행 수법을 확인하기 어렵다고 주장해 왔다.
그러나 실제 KT의 '서버'가 해킹을 당한 사실이 뒤늦게 알려지면서 고객 정보가 대규모로 유출됐을 가능성이 있다는 관측이 나온다.
KT는 현재로서는 언제, 어떤 정보가 유출됐는지 불확실하다는 입장이다.
다만 KT는 "9월 5일 새벽 비정상 소액결제 시도를 차단한 이후 무단 소액결제 피해는 발생하지 않고 있다"고 밝혔다.
정부는 개인정보 침해 사고를 늦게 신고하거나 미신고하는 기업에 대한 행정 처분을 강화하는 제도개선에 나서기로 했다.
한편 경찰은 18일 구속한 중국 국적 A(48) 씨와 B(44) 씨 등 피의자 2명을 상대로 이번 사건을 지시한 중국 조직의 행방을 조사하고 있다. A 씨는 붙잡힌 뒤 중국에 있는 '윗선'의 지시를 받았다고 실토했다.
A 씨는 ‘초소형 기지국(펨토셀)’ 장비를 승합차에 싣고 다니며 휴대전화를 해킹해 개인 정보를 빼낸 혐의를 받는다.