KT 가입자를 겨냥한 무단 소액결제 사건이 불법 초소형 기지국(펨토셀)에서 비롯된 정황이 뚜렷해지고 있다. 그러나 펨토셀이 어떻게 KT의 핵심망에 접속했는지, 결제가 어떤 과정을 거쳐 이뤄졌는지 등 여전히 풀리지 않은 의문이 많다.

10일 과학기술정보통신부는 이번 사건이 “등록되지 않은 불법 펨토셀의 접속에서 비롯된 것으로 추정된다”고 밝혔다. 그러나 KT는 자사 장비가 해킹된 것은 아니라면서도 “관리시스템에 등록되지 않은 ID만 보였을 뿐, 실제 장비 실체는 확인되지 않았다”고 설명했다.

문제는 결제 과정이다. 펨토셀이 망에 접속하더라도 소액결제를 하려면 개인정보 기반의 인증 절차를 통과해야 한다. 이 과정이 어떻게 뚫렸는지는 오리무중이다. 일부에서는 유심(USIM) 정보 탈취 가능성을 거론하지만, KT는 “이번 사건은 불법 무선 장치와 관련된 것으로 유심 해킹과는 무관하다”고 선을 그었다.

더 큰 의문은 왜 KT에서만 피해가 발생했느냐다. 류제명 과기정통부 2차관은 “원인을 명확히 설명할 수 없다”고 밝혔다. 이에 대해 한 보안업계 관계자는 “외부에서 KT 기지국 정보를 확보했거나 내부 취약점, 심지어 내부자 결탁 가능성도 배제할 수 없다”고 말했다.

실제 피해 규모도 빠르게 늘고 있다. 경기남부경찰청 사이버수사대에 따르면 지난달 27일부터 이달 9일 오후 6시까지 확인된 피해는 총 124건, 금액은 8천60여만 원에 달한다. 불법 펨토셀이 차량 등에 실려 이동하며 범행했을 가능성이 제기되면서 피해 범위가 더 확산될 수 있다는 우려가 나온다.

피해자 증언도 주목된다. 일부는 소액결제가 발생한 시각에 카카오톡이 강제로 로그아웃됐다고 전했다. 보안 전문가는 “이는 또 다른 기기에서 동일 계정이 접속했음을 시사한다”고 분석했다. 다만 당국은 “로그아웃 현상이 실제 범행과 연관 있는지 여부는 조사 중”이라고 밝혔다.

개인정보 유출 여부도 핵심 쟁점이다. 학계에서는 단순 기지국 정보만으로 결제가 이뤄지긴 어렵다며 개인정보가 일정 수준 유출됐을 가능성에 무게를 두고 있다. 개인정보보호위원회는 별도의 조사를 통해 관련 정황을 규명할 계획이다.

이번 사건이 북한 연계 해킹 조직 ‘김수키’의 KT·LG유플러스 해킹과 관련이 있는지 여부도 과제로 남았다. 류 차관은 “현재로선 연관성을 단정하기 어렵다”며 “추가 확인이 필요하다”고 말했다.

국내에서 처음 발생한 유형의 범죄인 만큼, 이번 사건은 통신망 보안 체계 전반을 점검해야 한다는 목소리를 키우고 있다. 전문가들은 “불법 기지국 탐지 시스템 강화, 내부 보안 절차 검증, 정부-통신사 간 실시간 대응 체계 구축이 시급하다”고 지적한다.

내일의 세상을 바꾼다 <오픈타임즈>는 24시간 여러분의 제보를 기다립니다.
▶카카오톡: '오픈타임즈' 검색
▶이메일: opentimenews@gmail.com
▶뉴스 제보: https://www.opentimes.kr