KT 무단 소액결제 침해사고 사건을 들여다보던 경찰이 범인들이 지난해 동일한 범죄를 시도한 정황이 있었다는 내용의 수사 결과 내용을 발표했다. KT가 3년 전부터 악성코드 공격을 받아왔다는 점을 감안하면 이 당시 가입자 개인정보를 빼돌린 범인들이 이를 활용해 범행을 저질렀을 가능성도 제기된다.
29일 경기남부경찰청 사이버수사과는 이날 오후 서울 정부종합청사에서 KT 무단 소액결제 사건 수사결과를 발표했다. 경찰 관계자는 “범인들이 지난해 5월 불법 기지국(펨토셀)을 운영한 정황이 나왔다"고 밝혔다.
경찰에 따르면 지난 8~9월 사이 차량에 불법 펨토셀 장비를 싣고 다니며 수도권 지역 아파트를 돌며 해당 지역 KT 가입자들의 휴대전화를 해킹해 소액결제를 한 혐의로 경찰에 붙잡힌 조선족 A (48) 씨보다 다른 공범들이 먼저 같은 방식의 범행을 시도했다가 실패했다.
A 씨가 범행에 사용한 불법 펨토셀 장비는 지난해 4월 50대 한국인 B 씨가 상선으로부터 처음 전달받은 것으로 나타났다. B 씨는 상선의 지시를 받고 경기 남부지역으로 가 장비를 받은 뒤 운용을 시작한 대가로 500만 원을 받았다. B 씨는 지인을 통해 일당 8만 원에 20대 남성 1명을 섭외했으며, 같은 해 5월 2일부터 9일까지 장비를 차에 싣고 서울지역을 돌아다니도록 했다. 비록 B 씨의 범행은 실패로 돌아갔지만, 이는 A 씨가 사용한 ‘워 드라이빙’ 수법과 상당 부분 유사하다.
이후 B 씨는 중국으로 장비를 일부 보내고 나머지를 갖고 있다 지난 6월 상선의 지시를 받고 30대 조선족 C 씨에게 장비를 전달했다. C 씨는 중국인 상선이 보내준 펨토셀과 자신이 중국에서 받은 노트북과 휴대전화를 지난 7월 19일 A 씨에게 전달했다. A 씨는 펨토셀 2점, 라우터(통신장비) 5점, 지향성 안테나, 부속품 등 총 31점으로 구성된 장비를 가지고 범행을 저지른 것으로 나타났다.
불법 펨토셀 장비 분석 결과 해당 장비 내에서 KT 인증서, KT 인증 서버 IP, 셀 ID, 관리자 접속 IP, 패킷 전송 소프트웨어 등 전자정보가 발견된 것으로 알려졌다. KT 인증서는 지난 2019년 7월 경기도의 한 군부대에 설치됐던 KT펨토셀의 인증서인 것으로 확인됐다. 이듬해 1월 막사 이전 과정에서 펨토셀이 유실됐는데, 범인들이 이를 입수해 저장돼 있던 인증서를 사용한 것으로 경찰은 보고 있다.
그러나 경찰은 범인들이 무단 소액결제에 필요한 가입자 개인정보를 어느 시점에 어떠한 방식으로 입수했는 지 파악하지는 못했다. 다만, 지난 2022년 4월부터 지난해 4월까지 3년간 KT가 악성코드 공격을 받았을 당시 범인들이 개인정보를 빼냈을 것이라는 추정이 나오고 있다.
이 당시 사용된 BPF도어(BPFDoor) 악성코드는 중국 해커 그룹이 만든 것으로 알려졌다. 이에 감염된 KT 서버 43대 중 가입자 정보가 저장된 서버도 포함된 것으로 확인됐다. 다만 이 역시 추정이며, 경찰은 악성코드 공격과 이번 사건의 연관성은 확인이 불가하다는 입장이다.
이번 사건의 피해 지역은 경기 광명, 과천, 부천, 고양, 서울 금천, 동작, 서초, 영등포, 인천 등 9곳이다. 피해자는 227명, 피해액은 1억4500여만 원에 달하는 것으로 나타났다. 경찰은 수사를 통해 A 씨를 포함해 장비공급·운용 피의자 5명, 소액결제 건 현금화 등 자금세탁 피의자 3명, 대포폰 제공자 5명 등 총 13명을 검거했다. 이 중 5명은 구속됐다.
경찰은 A 씨에게 범행을 지시한 중국인 상선 등 검거되지 않은 피의자 2명에 대해 인적사항을 특정, 인터폴 적색수배 조치를 했다. 또한 A 씨에게 범행 대가를 전달한 송금책이 중국으로 출국한 것을 확인해 중국 수사 당국에 수배 및 입국시 통보조치를 했다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
vegemin@sedaily.com
