KT '무단 소액결제', '유령 기지국' 펨토셀 원인···풀리지 않는 의문들

| 스마트에프엔 = 양대규 기자 | 특정 지역 KT 가입자를 대상으로 한 무단 소액결제 사건의 원인이 불법 초소형 기지국, 이른바 '펨토셀'을 이용한 해커의 소행으로 무게가 실리고 있다. 최근 정부와 KT가 합동 조사에 착수하고 피해액 전액 보상 방침을 밝혔다. 하지만 미등록 기지국이 어떻게 KT의 핵심 통신망에 접속해 개인 인증을 뚫었는지 등 핵심적인 의문은 여전히 풀리지 않고 있다.

11일 업계에 따르면 과학기술정보통신부(과기정통부)는 전날 브리핑을 통해 이번 사태가 KT 시스템에 등록되지 않은 불법 펨토셀이 통신망에 접속하며 비롯된 중대한 침해 사고로 판단하고 민관 합동 조사를 진행 중이라고 밝혔다.

KT의 자체 전수 조사 결과 10일 기준으로 피해 건수는 278건, 피해 금액은 1억7000여만원에 달하는 것으로 파악됐다. 이는 공식적으로 접수된 민원(177건, 7782만원)보다 큰 규모다. KT는 피해 사실을 인지하지 못한 이용자들에게 개별 연락을 취하고 있다.

류제명 과기정통부 2차관은 "이번 KT 침해 사고는 이용자 금전 피해가 있었던 점 등 중대한 침해 사고로 판단한다"며 "조사 과정에서 KT 시스템에 등록되지 않은 불법 펨토셀이 KT 통신망에 접속한 사실이 확인됐다"고 밝혔다.

KT는 이번 사태로 발생한 모든 피해액에 대해 이용자에게 청구하지 않기로 결정했다. 임효열 KT 상무는 브리핑에서 "소액결제 피해 사실이 확인되면 전액 보상 조치하고 납부가 되지 않도록 하고 있다"고 강조했다.

사건의 윤곽은 일부 드러났지만, 구체적인 범행 과정은 여전히 베일에 싸여 있다. 가장 큰 의문은 불법 펨토셀이 어떻게 KT의 핵심 통신망에 접속할 수 있었는가이다. 

이에 대해 구재형 KT 네트워크기술본부장은 "관리시스템에 등록되지 않은 ID만 보였지 저희도 이 실체는 모르고 있다"며 "어떻게 연동됐는지는 합동 조사를 통해 확인하고 있고 기존 장비에는 전혀 이상이 없다"고 설명했다.

설령 망 접속에 성공했더라도, 소액결제를 위해서는 개인정보를 바탕으로 한 인증 절차를 통과해야 한다. 이번 피해는 모두 ARS 인증을 통해 이뤄졌는데, 이 과정이 어떻게 뚫렸는지는 아직 밝혀지지 않았다. 류제명 차관은 "그런 의문점에 대한 답을 우리도 KT에 물어봤는데 명쾌한 원인분석이나 메커니즘에 대한 설명이 안 되고 있다"며 조사 과정에서 밝혀져야 할 부분이라고 말했다.

일부 피해자들이 결제 시간대에 카카오톡 로그아웃 현상을 겪었다고 증언하면서 개인정보 유출 가능성도 제기된다. 개인정보보호위원회는 KT와 LG유플러스의 개인정보 유출 의혹에 대한 공식 조사에 착수했다고 밝혔다.

보안 전문가들은 펨토셀의 보안 취약성은 이미 오래전부터 예견된 문제였다고 지적한다. 펨토셀은 소규모 음영 지역 해소를 위해 2010년대 초반부터 보급됐지만, 무선 공유기와 유사한 구조 탓에 항상 보안 위협에 노출되어 있었다.

황석진 동국대 정보보호학과 교수는 "펨토셀은 일정 반경 안의 주파수를 전부 담아버리는 기술로, 본질적인 구조가 무선 공유기와 크게 다르지 않아 항상 보안 이슈가 있었다"며 "해킹 수법이 명백히 펨토셀로 밝혀지지 않았다 해도, '유령 기지국'을 잡아내지 못한 것 자체가 문제"라고 꼬집었다.

KT만의 구조적 취약점을 원인으로 지목하는 분석도 나온다. 김영대 카이스트(KAIST) 전기및전자공학부 교수는 자신의 SNS를 통해 "KT는 SKT와 달리 문자메시지(SMS) 구현 방식에서 종단 암호화가 적용되지 않아, 펨토셀을 해킹해 소액결제 일회용 비밀번호(OTP)를 탈취할 수 있다"고 지적하며 "통신사 차원의 구조적 대책이 필요하다"고 주장했다.

정부는 이번 사태를 계기로 통신 3사의 망 관리 실태에 대한 전면적인 보안 점검을 실시하고 근본적인 대책을 마련하겠다고 밝혔다. 류 차관은 "국가 배후 조직의 해킹 정황, 휴대전화 소액결제 피해와 같은 사건이 연이어 발생한 상황을 엄중히 보고 있다"며 통신 서비스에 대한 국민 신뢰 회복에 나서겠다고 말했다.