Telecom giant KT is continuing to uncover the scale of mobile payment fraud cases through new findings from its comprehensive investigation into carrier billing transactions conducted between August 1, 2024, and September 10, 2025. However, the full extent of its users’ personal data exposure remains unclear.
During a press briefing at its office in central Seoul, a KT official stated, “It’s true that a name, date of birth and gender are required when making a mobile payment. Our joint investigation team is currently examining internal servers and related systems in detail to determine how the hackers acquired the information.”
The company revealed that unauthorized connections to illegal femtocell base stations had occurred since October last year, continuing for nearly a year before being discovered last month. An additional 16 illegal base stations were found to be used in the scheme, bringing the total to 20. Approximately 2,200 more customers were identified as having connection histories with these unauthorized stations, raising the total number of affected users to around 22,200.
KT explained that it has expanded the scope of its latest investigation period from the initial three months to over 13 months, reviewing around 150 million payment transaction records, including direct carrier billing payments through app stores. A KT official noted, “Throughout this expanded and detailed review, we enhanced our detection algorithms for identifying illegal femtocell usage and unauthorized payment activity. As a result, the number of detected illegal femtocell IDs increased by 16 compared to earlier findings.”
The company analyzed over 4.03 trillion connection records between mobile devices and base stations to detect the illegal activity. The hackers allegedly used femtocells to intercept verification signals and authorize mobile transactions without users’ knowledge.
With the new findings, six more users were identified as victims of unauthorized mobile payments, totaling 3.19 million won ($2,245). The total number of victims now stands at 368, with cumulative losses exceeding 240 million won.
KT stated that it found no irregular payment activity involving the PASS authentication platform or direct carrier billing transactions. The earliest unauthorized payment attempt occurred on August 5, consistent with earlier findings. The company confirmed that no additional cases were reported after September 5 and has implemented measures to block access from unauthorized femtocell base stations while monitoring connections in real time.
KT has submitted supplementary reports to relevant authorities, including the Personal Information Protection Commission, and is taking protective measures for newly identified victims, apologizing for the incident. However, when asked about waiving early termination fees for users wishing to switch to a different mobile carrier following the incident, the company declined to provide a definite answer, stating it would wait until the investigation concludes.
“Regarding the issue of early termination fees, we will review the matter as quickly as possible, taking into account the results of the ongoing investigation and the extent of customer damages before making a final decision,” KT said.
통신 대기업 KT는 2024년 8월 1일부터 2025년 9월 10일 사이에 진행된 요금 부과 거래에 대한 종합 조사 결과를 통해 모바일 결제 사기의 규모를 계속해서 밝혀내고 있으나, 사용자 개인 정보 노출의 전체 규모는 여전히 불확실하다고 밝혔다.
KT 관계자는 금요일 서울 중앙 본사에서 열린 기자 회견에서 "모바일 결제를 할 때 이름, 생년월일, 성별이 필요한 것은 사실이다. 현재 우리 합동 조사팀은 해커가 정보를 어떻게 획득했는지를 파악하기 위해 내부 서버와 관련 시스템을 면밀히 조사하고 있다"고 말했다.
회사는 불법 펨토셀 기지국에 대한 무단 접속이 작년 10월부터 발생하여 거의 1년간 지속되다 지난달에 발견되었음을 밝혔다.
이번 사건에 사용된 불법 기지국이 추가로 16개 발견되었으며, 총 20개로 늘었다. 이러한 무단 기지국과 연결된 고객이 약 2,200명 추가로 확인되어, 피해를 입은 사용자 수는 약 22,200명에 이르게 되었다.
KT는 이번 조사의 범위를 초기 3개월에서 작년 8월부터 13개월 이상으로 확장하여 약 1억 5천만 건의 결제 거래 기록—앱 스토어를 통한 직접 요금 청구 결제를 포함—을 검토했다고 설명했다.
KT 관계자는 "확대된 상세 검토를 통해 불법 펨토셀(소형 저전력 셀룰러 기지국) 사용 및 무단 결제 활동을 식별하기 위한 탐지 알고리즘을 강화했다. 그 결과, 발견된 불법 펨토셀 ID의 수가 이전 발견보다 16개 증가했다"고 말했다.
회사는 불법 활동을 감지하기 위해 모바일 장치와 기지국 간의 4.03조 건의 연결 기록을 분석했다고 밝혔다. 해커는 펨토셀을 이용해 인증 신호를 가로채고 사용자 모르게 모바일 거래를 승인한 것으로 알려졌다.
새로운 발견으로 인해 6명의 사용자가 무단 모바일 결제의 피해자로 확인되어 총 319만 원(약 2,245달러)으로 집계되었으며, 현재 피해자 수는 368명에 달하고 누적 손실액은 2억 4천만 원을 초과했다.
KT는 PASS 인증 플랫폼이나 직접 요금 청구 거래와 관련하여 비정상적인 결제 활동을 발견하지 못했다고 전했으며, 최초의 무단 결제 시도가 8월 5일에 발생했다고 덧붙였다.
회사는 9월 5일 이후 추가적인 사례가 보고되지 않았으며, 무단 펨토셀 기지국으로의 접근을 차단하고 실시간 연결을 모니터링하기 위한 조치를 시행했다고 밝혔다.
KT는 개인 정보 보호 위원회를 포함한 관련 기관에 보충 보고서를 제출했으며, 새롭게 확인된 피해자들을 위한 보호 조치를 취하고 이 사건에 대해 사과했다.
그러나 사건 이후 다른 이동통신사로 전환을 원하는 사용자에 대해 조기 해지 수수료 면제를 요청하자, SK텔레콤과 달리 확답을 주지 않으며 조사가 완료될 때까지 기다릴 것이라고 밝혔다.
KT는 "조기 해지 수수료 문제에 대해서는 ongoing 조사 결과와 고객 피해의 정도를 고려하여 최대한 빠르게 검토하여 최종 결정을 내릴 것"이라고 전했다.