KT 이동통신 가입자들을 상대로 한 무단 소액결제가 정체불명의 통신장비, 이른바 ‘가상 기지국’을 활용한 해킹으로 이뤄진 정황이 확인됐다. KT 소유가 아닌 가상 기지국에 가입자들이 접속했다가 결제에 필요한 인증 등 정보가 탈취당한 신종 수법이 이번 사태의 원인으로 제기된 것이다. 또 무단 결제 대부분이 통화 방식의 본인 인증수단인 자동응답서비스(ARS) 인증으로 이뤄진 것으로 확인돼 향후 구체적 원인 규명의 쟁점이 될 것으로 보인다.
9일 통신업계에 따르면 KT는 자체 조사를 통해 이 같은 이상징후를 확인하고 전날 오후 7시 16분 사이버 보안 당국인 한국인터넷진흥원(KISA)에 사이버침해 여부를 조사해달라고 신고했다. 기지국은 이동통신망과 스마트폰 간 연결을 매개하고 그 사이에서 오가는 정보를 관리한다. 이번 소액결제 피해자들은 KT가 관리하지 않고 누군가 몰래 임의로 만든 가상 기지국을 통해 스마트폰을 연결했다가 해킹 피해를 당한 것으로 보인다는 게 KT 측 자체 조사 결과다.
업계는 총 5000만 원 규모에 달하는 피해 사례가 경기 광명시와 부천시, 서울 금천구와 영등포구 등 수도권 일부 지역에 집중된 점으로 보아 해당 지역의 기지국 문제가 원인일 가능성이 크다고 보고 있다. 업계 관계자는 “기지국을 해킹하면 이에 접속한 사용자들에게 악성코드를 배포하는 식의 시나리오도 가능하다”고 전했다.
다만 이 같은 가상 기지국 해킹을 통해 구체적으로 어떻게 소액결제 범죄로 이어졌는지는 아직 밝혀지지 않았다. KT는 앞서 사용자 스마트폰에 악성 애플리케이션을 몰래 설치해 스마트폰을 불법 제어하는 스미싱이 그 연결고리라고 의심한 것으로 알려졌다. 하지만 아직 해당 범죄 정황은 확인되지 않았다. 또 KT가 최수진 국민의힘 의원실에 보고한 자료에 따르면 무단 소액결제 대부분은 문자나 패스(PASS) 앱이 아닌 ARS 인증으로 이뤄진 것으로 나타났다. 이에 가상 기지국 해킹과 ARS 인증 시스템 간 연결고리도 당국 조사 대상이 될 것으로 보인다.
이에 과학기술정보통신부는 이날 최우혁 정보보호네트워크정책관이 단장을 맡고 KISA와 민간 전문가 등 14명으로 구성된 민관합동조사단을 꾸리고 본격적인 원인 조사에 착수했다. 조사단은 KT에 자료 보전을 요구하고 현장 조사를 벌였다. 과기정통부는 추가 피해 우려 등 침해사고의 중대성, 공격방식에 대한 면밀한 분석 필요성을 고려해 신속하게 사고 관련 기술적·정책적 자문을 받는 등 철저한 조사를 추진한다는 계획이다. 조사에는 1~2개월 정도가 소요될 예정이다.
KT는 앞서 자사 내부망이 해킹된 정황이 확인되지 않는 만큼 경찰 조사에만 협조해왔지만 해커의 공격 정황이 새로 파악되면서 KISA에도 신고하기로 했다. KT는 “개인정보 해킹 정황은 없는 것으로 확인했다”며 경찰과 정부 조사에 적극 협조하겠다는 입장이다. 회사는 또 “소액결제 피해 고객에게는 어떠한 금전적 피해가 가지 않도록 사전조치 등 만전을 기하고 있으며 결제 한도 하향 조정 등 피해 최소화를 위해 노력 중”이라며 “5일 새벽부터 비정상적인 소액결제 시도를 차단했고 이후 추가 피해는 확인되지 않는다”고 설명했다.
지난달 말부터 수도권 지역의 KT 가입자들이 자신도 모르게 모바일 상품권 구매 등 휴대전화 소액결제가 이뤄졌다는 신고가 이어지고 있다. 피해 금액은 한 명당 수십만 원꼴로 광명경찰서 신고 기준 3800만 원, 서울 금천경찰서 780만원, 부천 소사경찰서 411만 원 등이다. 영등포경찰서에도 신고가 접수됐다.
KT는 이번 소액결제 사건과 별개로 중국 배후로 추정되는 해킹 조직에 의해 내부 서버가 해킹당했으며 해당 서버를 고의로 폐기했다는 의혹도 받는다. KT는 이 의혹과 관련해서도 내부 서버 해킹 정황이 없으며 이에 KISA에 신고하지 않는다는 입장이다. 이날 꾸려진 민관합동조사단 조사 범위에도 포함되지 않는다. 앞서 지난 4월 과기정통부는 SK텔레콤 해킹 사태 당시에도 민관 합동 조사단을 운영하며 사건 원인 등을 발표하는 등 2014년부터 7차례 조사단을 운영했다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
sookim@sedaily.com
