수도권에서 발생한 무단 소액결제 사건은 KT 가입자만 278건의 피해가 발생했다. 피해액은 1억7000만원에 달한다. SK텔레콤과 LG유플러스 가입자는 같은 지역에서 피해를 입지 않았다. 특정 통신사만 노린 선택적 공격 가능성이 제기되는 이유다.
이번 사건은 8월 27일 경기 광명시와 서울 금천구에서 시작됐다. 피해자들은 공통적으로 새벽 시간대 카카오톡이 강제 로그아웃되거나, 인증문자 없이 수십만원 상당의 상품권이 결제되는 피해를 입었다. 사건은 이후 부천, 인천 등 수도권 전역으로 확산됐다.
경찰이 복제폰, 유령 기지국, 네트워크 취약점 해킹 등 다양한 가능성을 검토하는 가운데 KT의 자체 조사 결과, 불법 초소형 기지국(펨토셀) 2대를 통한 비정상 통신이 원인으로 지목됐다. KT는 “기존에 KT 망에 연결된 적이 있는 장비로 추정된다”고 밝혔다.
황석진 동국대 국제정보보호대학원 교수는 펨토셀 보급률의 차이를 주요 원인 중 하나로 지목했다. 황 교수는 “KT가 3사 중 가장 많은 15만7000대를 운영하고 있다”며 “SK텔레콤은 7000대, LG유플러스는 2만8000대 수준이다”라고 말했다.
KT만 피해를 본 배경에는 네트워크 구조 차이도 있다. KT는 문자메시지(SMS) 전송 방식에서 단말기와 기지국 사이인 ‘에어망’ 구간만 암호화한다. 기지국과 통신사 간 ‘코어망’ 구간은 암호화를 적용하지 않는다. 전문가들은 이로 인해 불법 펨토셀을 통해 인증문자를 탈취할 수 있는 구조가 만들어졌다고 입을 모은다. SK텔레콤과 LG유플러스는 코어망까지 암호화를 적용하는 것으로 알려졌다.
KT의 펨토셀 관리 실태도 문제로 지적된다. 황석진 교수는 “전문 기사가 직접 설치해야 함에도 불구하고 배송만 진행된 사례가 있다”며 “설치되지 않은 채 방치된 장비도 있었던 것으로 보인다”고 지적했다.
KT는 피해 사례 278건을 분석한 결과, 대부분이 ‘ARS 인증’을 통해 결제가 이뤄졌다고 밝혔다. 이에 따라 12일부터는 상품권 업종에 대한 소액결제를 생체 또는 PIN을 활용한 ‘PASS 인증’으로만 가능하도록 제한했다.
데이터 전송 과정도 취약점으로 지적된다. 황석진 교수는 “KT의 SMS 구현 방식은 펨토셀 내부에서 복호화된 SMS 본문을 확인할 수 있는 구조다”라며 “원문 데이터가 외부 해킹에 노출될 수 있다”고 설명했다. 그는 “공격자는 차량을 이용해 금천에서 광명, 과천까지 이동하며 데이터를 수집한 것으로 보인다”고 추정했다.
KT는 사건을 처음에 단순 스미싱으로 오인하며 초기 대응에도 한계를 드러냈다. 황 교수는 “KT는 인가받지 않은 기지국에서 전송되는 주파수를 수신하지 못하게 하는 기능이 부족했던 것으로 보인다”며 관리감독 시스템 부재를 근본 원인으로 지목했다. 그는 “펨토셀은 통화 품질이나 인터넷 속도 향상에 필요한 장비다”라며 “장비 자체보다는 관리 체계 개선이 시급하다”고 강조했다.
특히 이번 사건은 올해 7월 KT가 ‘정보보호 분야에 5년간 1조원 투자’ 계획을 밝힌 지 두 달도 되지 않아 발생했다. KT는 AI 기반 보안관제 서비스와 양자암호 통신, 침해사고 대응 역량 등을 내세우며 사이버보안 강화를 지속 강조해 왔다. 하지만 이번처럼 통신망의 구조적 취약점이 노출되고 수백 건의 무단 결제가 발생하자 "이런 방식으로 고객 정보가 털리는 상황에서 KT의 보안 투자와 서비스를 어떻게 믿을 수 있겠느냐"는 불신의 목소리가 커지고 있다.
경찰과 과학기술정보통신부 민관 합동조사단은 정확한 공격 경로와 내부자 개입 여부 등을 조사하고 있다. 전문가들은 이번 사건이 통신사 간 보안 수준 차이를 드러낸 만큼, 통신 3사가 공동으로 불법 기지국 탐지·차단 기술을 도입해야 한다고 제언하고 있다.
홍주연 기자
jyhong@chosunbiz.com