[사건 인사이드] ‘KT 결제’ 엠바고 풀던 날 끝난 줄 알았다… ‘윗선 수사’ 새로운 챕터로

‘도주 우려’ 기자단에 보도 중지 요청
엠바고 해제… 유력 용의자 검거했지만
“지시 받았다” 조직적 범행 의혹 번져

경찰, 중국 있는 것 추정… 추가공범 조사
“080 차단법” 온라인 카페 등 퍼지기도

KT 휴대전화 가입자들의 무단 소액결제 사태와 관련해 고객 문의가 9만여건 접수되는 등 추가 피해 우려가 커지고 있다. 사진은 수원시내 한 휴대폰 대리점 모습. 2025.9.14 /최은성기자 ces7198@kyeongin.com

‘KT 소액결제 사건 용의자 검거 작전, 엠바고 요청’

광명과 부천, 과천 등 도내를 중심으로 KT 소액결제 피해 사례가 한창 확대돼 알려지던 지난 11일 취재진에게 경찰로부터 다급한 엠바고 요청이 전달됐다.

이번 사건의 유력 용의자가 포착돼 검거 작전이 진행될 예정이라는 것. 언론 보도를 통해 이같은 사실이 알려질 경우 도주와 증거인멸 등이 우려된다는 경찰 측 설명에 범인 검거를 위한 협조가 진행됐다.

6일 뒤인 지난 17일 경찰은 엠바고를 해제, 검거 사실을 공식 알렸고, 이 사건은 마무리 수순에 접어드는 것처럼 보였다.

그러나 주범은 따로 있다는 사실이 확인되면서 사건은 새로운 국면을 맞이했다. 해킹 범죄와 그 피해는 날로 커지면서 시민들의 불안감은 증폭되는 상황이다.

KT 무단 소액결제 사건의 용의자가 지난 17일 인천국제공항에서 경찰에 검거된 모습. 2025.9.17 /경기남부경찰청 제공

엠바고부터 검거까지, 긴급했던 당시 상황 어땠나

경기남부경찰청 사이버수사과는 지난 11일 출입 기자단에게 공식 엠바고를 요청했다. 경찰은 “KT 소액결제 관련 유력 용의자의 검거가 임박했다. 이번 주말에 검거 작전이 예상된다”고 전했다.

엠바고는 취재 대상·기관이 출입 기자 등과의 합의에 따라 일정 시점까지 보도를 자제하지 않겠다는 약속이다. 국가 안보 사항 등 조기 보도할 경우 부정적 영향이 예상될 때 주로 요청된다.

해당 엠바고는 이례적으로 한차례 연장돼 진행됐다. 13~14일 예상된 검거 시기가 20~21일까지도 전망된다면서 그때까지 용의자 관련 보도를 자제해달라는 내용이었다. 당시 용의자가 해외에 있어 입국 일정과 동선에 대한 첩보를 확인하는 과정에서 검거 작전 계획이 변동된 것으로 전해졌다.

사건의 원인과 수법, 구체적 피해 규모 등이 미궁인 상태에서 용의자 검거가 우선돼야 한다는 의견이 제기됐고, 출입기자단 소속 기자들의 전체 동의와 함께 협조가 진행됐다.

17일 오후 4시 48분께 경찰은 공식적으로 엠바고를 해제, 전날인 16일 오후 2시 3분에 유력 용의자 A(48)씨를 인천공항에서 체포했다는 사실을 알렸다. 공범 B(44)씨는 엠바고 해제 당일인 17일 서울 영등포에서 검거됐고, 경찰은 곧바로 구속영장을 신청하며 일단락되는 듯 보였다.

그러나 A씨는 경찰 조사에서 “중국에 있는 윗선 C씨의 지시를 받고 범행했다”고 주장하며 조직적 범행에 대한 의혹으로 번지기 시작했다.

‘윗선’ 있다…조직범행 무게 두고 수사 진척

KT 무단 소액결제 사건의 피의자인 중국 국적 남성 A씨(왼쪽)와 B씨가 18일 구속 전 피의자 심문(영장실질심사)에 출석하기 위해 경기도 수원영통경찰서 유치장에서 나오고 있다. 2025.9.18 /연합뉴스

유력 용의자인 줄 알았던 A씨는 지난 18일 구속 전 피의자 심문 출석을 위해 수원 지법 안산지원에 들어서면서 “수도권 지역 노린 이유가 무엇인가”, “누구 지시받은 것인가”라고 묻는 취재진 질문에 “모른다. 시키는 대로 했다”고 반복해 답했다.

진술을 토대로 분석하면, 검거한 A씨와 B씨는 이 사태의 주범인 ‘윗선’의 인물 혹은 조직의 지시를 받고 범행을 실행해 옮기는 역할을 했다. 경찰 조사 결과 A씨는 불법 소형 기지국을 승합차에 실은 채 광명, 부천 등 범행 지역 일대를 돌아다녔고, B씨는 무단 결제된 모바일 상품권 등을 현금화하는 역할을 담당했다.

두 명 모두 국내에서 일용직 근로자로 일한 것으로 확인됐는데, 경찰은 이들이 무선통신 관련 지식이 없다고 판단하고 조직 범행에 무게를 두고 있다.

경찰은 아직 A씨가 말하는 ‘윗선’을 특정하지 못했지만, 진술대로 중국에 있는 것으로 판단하고 있다. 배후에 있는 조직의 정체와 추가 공범이 몇 명이나 되는지 등에 대해선 현재 수사를 진행하고 있는 것으로 전해졌다.

경찰 관계자는 “검거된 피의자 외의 추가 공범 여부에 대해선 구속된 피의자들을 대상으로 조사를 지속하고, 소액결제 내역 등을 통해 계속 수사할 예정”이라며 “확보한 장비는 추후 민관합동조사단 등과 공조해 구체적 범행 과정 등을 검증할 예정”이라고 말했다.

피해자 300명대까지 확산…불안감은 증폭

19일 서울 종로구 정부서울청사에서 열린 해킹 대응을 위한 과기정통부-금융위 합동 브리핑을 마친 정부 관계자들과 롯데카드(왼쪽), KT(오른쪽) 관계자들이 함께 인사를 하고 있다. 2025.9.19 /연합뉴스

이날 경찰에 따르면 18일 기준 피해자는 총 200명, 피해 액수는 1억 2천790여만원이다. 앞서 KT는 피해 고객 수가 당초 278명에서 362명으로, 피해 금액도 2억4천만원까지 확대됐다고 발표해 경찰의 집계 현황은 더 늘어날 전망이다.

이번 사건의 불안감이 극대화된 주된 이유는 해킹이 단순히 개인정보 유출 등으로 끝나지 않고 실질적인 재산 피해로 나타났기 때문이다.

심지어 피해자들은 악성 URL 링크를 접속하거나 특정 앱을 설치한 적도 없이 자신도 모르는 사이에 범행에 노출됐다.

사건 초기 불안감에 소액결제 차단을 문의하는 요청이 KT뿐 아니라 각 통신사에 이어진 것으로 파악됐다.

온라인 카페와 각종 SNS에는 ‘080’으로 시작하는 각 통신사의 소액결제 원천 차단 문의 연락처와 자체 차단 방법 등이 공유되기도 했다.

펨토셀 등 불법 초소형 기지국을 통해 이용자의 트래픽을 가로채 발생한 범행이라는 점이 현재 과학기술정보통신부 등을 통해 조사돼 발표된 상태지만, 유사 사건 반복에 대한 우려는 크다.

특히 카드업계 5위인 롯데카드 역시 지난 18일 외부 해킹 공격으로 297만명의 고객 정보가 유출됐다고 발표해 파장이 커지고 있다. 조좌진 대표는 “온라인 결제 서버에 국한해 발생해 오프라인 결제와는 전혀 무관하다”고 밝혔지만, 언제든 금융 범죄에 노출될 수 있다는 가능성에 불안감은 높은 상태다.

김명주 서울여대 지능정보보호학부 교수는 “불과 10년 전만 해도 해킹, 보안 문제에 대한 심각성이 그리 크지 않았지만, 이번 사태처럼 큰 취약점이 있다는 게 확인되면서 불안함이 높은 상황”이라며 “사태의 원인을 밝혀내는 게 가장 먼저 필요해 보인다. 다른 통신사들도 취약성이 나타날 수 있는지, 또 다른 보안 문제로 번질 수 있는지 등에 대한 충분히 조사가 이뤄져야 한다”고 짚었다.

/고건 기자 gogosing@kyeongin.com