“편의성 앞세운 미성년자 소액결제”···통신업계 보안 취약점 어쩌나?

| 스마트에프엔 = 양대규 기자 | SK텔레콤·KT·LG유플러스가 만 12세 이상 청소년을 대상으로 소액결제 서비스를 확대한 이후, 보안 부실이 드러나며 논란이 커지고 있다. 최근 발생한 KT 소액결제 해킹 사건은 소액결제 서비스의 보안 취약점이 현실화된 사례다.

포화된 통신 시장에서 새로운 수익원을 찾기 위해 도입된 이 정책은 결국 미성년자를 ‘보호받아야 할 소비자’가 아닌 ‘새로운 고객층’으로만 취급한 결과라는 지적이다

이통3사, 작년부터 12세 이상 청소년 대상 '소액결제' 확대

15일 통신업계에 따르면 지난해 이동통신 3사 모두 만 19세 미만 청소년의 휴대폰 소액결제를 허용하기 시작했다. 

2015년까지만 해도 사회적 부작용을 이유로 만 19세 미만 청소년의 휴대폰 소액결제를 전면 차단했던 이통3사는 2023년 말부터 입장을 바꿨다.

SK텔레콤이 2023년 12월, 만 12세 이상 청소년을 대상으로 소액결제 서비스를 재개하며 첫발을 뗐다. 이후 시장의 반응을 관망하던 KT가 2024년 5월에 뒤따랐고 , LG유플러스 역시 2024년 9월부터 서비스를 시작하며 이통3사 모두 미성년자 시장에 본격적으로 진출했다.

표면적인 이유는 “부모 명의 도용을 막고, 공식적인 결제 수단을 제공하기 위해서”였다. 하지만 실제 연간 수천억원 규모의 수수료 수익을 노린 ‘따라하기식 경쟁’이었다는 분석이다.

휴대폰 소액결제는 통신사가 결제대행사(PG)를 대신해 이용자에게 요금을 청구하고 수납하는 과정에서 건별 평균 2~3%의 수수료를 수취하는 구조다. 2024년 기준 국내 휴대폰 소액결제 시장 규모가 약 6조6938억원이다. 이통3사가 수수료로 벌어들이는 수익은 연간 1300억 원에서 2000억원에 규모다.

문제는 이 과정에서 근본적인 보안 개선이 이뤄지지 않았다는 점이다. 소액결제 인증 절차는 여전히 문자메시지(SMS)나 자동응답시스템(ARS)에 의존했으며, 이는 오래전부터 스미싱·개인정보 유출 등 각종 범죄에 악용돼 온 방식이다. 이통사들은 단순히 월 결제 한도를 낮추고 최초 1회 부모 동의를 받는 수준에서 제도를 출발시켰다

KT, 소액결제 해킹으로 1억7000만원 규모 피해 발생

최근 발생한 KT 소액결제 해킹 사건은 이러한 취약점이 현실화된 사례다. 해커들은 불법 기지국(IMSI 캐처)을 이용해 가입자 정보를 탈취하고 인증 절차를 무력화시켜 1억7000만원 규모의 피해를 발생시켰다. 

일각에서는 단순히 예외적 사건이 아니라 예견된 취약점을 방치한 결과라는 비판이 제기된다

사건 이후 KT는 재발 방지를 위해 긴급 보안 조치를 도입했다. 구체적으로 ▲소액결제 한도 축소 ▲원천 차단 옵션 및 추가 비밀번호 설정 안내 ▲피해 고객 전용 24시간 센터 운영에 더해, 12일부터는 생체인증 기반 ‘패스(PASS)’를 본인 인증 수단으로 도입한다. LG유플러스와 SK텔레콤도 뒤따라 비슷한 조치를 취했다. 

KT 관계자는 "불법 기지국 접근 자체를 원천 차단하고, 비정상 결제 패턴을 실시간 감지하는 기능을 적용했다"며 "앞으로 모든 소액결제 건을 모니터링해 유사 피해가 발생하지 않도록 하겠다"고 밝했다.

다만 업계 전문가들은 이미 도입 가능했던 보안 기술을 의도적으로 배제한 채 편의성을 앞세운 결과라고 지적했다. 막대한 피해 후에야 뒤늦게 외양간을 고친 셈이다.

또한 이번 논란은 단순히 기술적 보안 문제에 국한되지 않는다. 금융 지식이 부족한 미성년자는 충동적 소비나 사기 피해에 취약하다. 실제로 “게임 아이템을 주겠다”며 접근해 소액결제를 유도하는 범죄가 증가하고 있다. 스마트폰 과의존과 결합할 경우 심리적·사회적 피해는 더 커질 수 있다.

미성년자에 의한 무단 결제 문제는 소액결제 서비스가 확대되기 이전부터 존재해 온 고질적인 문제였다. 과거에는 주로 부모 명의의 스마트폰으로 모바일 게임을 하던 자녀가 저장된 결제 정보를 이용해 무단으로 아이템을 구매하는 형태의 피해가 주를 이뤘다.   

한국소비자원 등의 기관에 접수된 관련 피해 사례를 분석하면, 평균 피해 금액이 약 30만 원에 달하고, 피해 구제를 신청하더라도 게임사와 앱 마켓, 통신사가 서로 책임을 떠넘기는 과정에서 환불받기가 매우 어려웠다. 민법상 미성년자의 법률 행위는 취소할 수 있다는 원칙 이 있지만, 소액 다건으로 이루어지는 디지털 재화 거래의 특성상 이 법적 보호 장치가 현실에서는 제대로 작동하지 않았다.

방송통신위원회 등 규제 당국은 그간 자율규제 중심의 가이드라인만 제시해 실질적 강제력이 없었다. 이번 사건에서도 피해 예방 요령 안내에 그쳤을 뿐, 사업자의 시스템 개선을 강제하지 못했다. 전문가들은 ▲강력한 다중 인증 의무화 ▲미성년자 회선의 기본 한도 ‘0원’ 설정 ▲출시 전 보안성 심사 의무화 ▲통합 분쟁 해결 절차 마련 등을 제언했다.