경기남부경찰청 사이버수사대가 15일 발표한 바에 따르면, KT 휴대폰 무단 소액결제 사건 피해자가 199명에 달하며 손실 규모는 1억2600만원으로 집계됐다. 이는 12일 오후 6시 기준으로 유사성 검토를 마친 신고 건수다.

피해 발생 지역을 살펴보면 경기 광명시가 118건(7750만원)으로 가장 많고, 서울 금천구 62건(3760만원), 경기 과천시 9건(410만원), 부천시 7건(580만원), 인천 3건(160만원) 순으로 나타났다. 9일 기준 124건에서 불과 사흘 만에 75건이 추가로 접수되면서 피해 확산 양상을 보이고 있다.

유재성 경찰청장 직무대행은 정례 간담회에서 "접수된 199건 중 124건은 경기남부경찰청으로 이송해 병합수사를 진행 중"이라며 "나머지 75건도 관할 경찰서에서 초동 조사 후 남부청 사이버수사과로 보낼 예정"이라고 밝혔다.

주목할 점은 경찰이 파악한 피해 규모가 과학기술정보통신부 발표보다 적다는 사실이다. 과기정통부는 10일 KT 자체 조사 결과를 인용해 피해 건수 278건, 피해액 1억7000만원이라고 발표했다. 이런 차이가 나는 이유는 피해자들이 아직 피해 사실을 인지하지 못했거나, 경찰의 사건 유사성 검토가 진행 중이기 때문으로 분석된다.

지난달 27일부터 시작된 이번 사건은 주로 새벽 시간대에 KT 가입자들의 휴대폰에서 본인 동의 없이 모바일 상품권이나 교통카드 결제가 이뤄지는 형태로 발생했다. 알뜰폰 이용자도 피해 대상에 포함된 것으로 확인됐다.

수사 당국은 이번 범행이 불법 초소형 기지국(펨토셀)을 활용한 전례 없는 신종 수법으로 판단하고 있다. 범인들이 가짜 기지국을 운용해 인근 이용자들의 통신을 중간에서 가로채 조작했다는 추정이다. 펨토셀은 반경 10미터 범위에서 통신 서비스를 제공하는 소형 기지국으로, 주로 가정이나 소규모 사무실에서 통신 음영지역 해소 목적으로 사용된다.

KT는 사건 인지 후 6일부터 상품권 판매 업종의 결제 상한선을 10만원으로 제한하고 비정상적인 결제 패턴 감지 시스템을 강화하는 등 긴급 대응책을 시행했다. 또한 불법 기지국에 접속한 1만9000명의 가입자 중 IMSI(가입자식별번호) 유출 가능성이 있는 5561명을 확인해 개인정보보호위원회에 신고했다.

현재까지 광명시, 금천구, 부천시, 과천시, 인천시 등 5개 지역에서 피해가 확인됐지만, 다른 지역에서도 유사한 신고가 계속 접수되고 있어 최종 피해 규모는 더욱 커질 전망이다. 경찰은 추가 접수되는 사건들의 유사성을 면밀히 검토해 병합 수사 여부를 결정할 방침이라고 밝혔다.

한편 민생경제연구소, 참여연대, 한국소비자연맹 등 시민단체들은 15일 KT 광화문빌딩 앞에서 기자회견을 열고 "통신 안전성을 위협하는 외주화 중단"과 "정부의 적극적인 대응"을 요구했다.