현재까지 피해액 1.7억원

펨토셀 통신망 접속 전면 차단했지만

결제 경로 등 아직 못 밝혀

인증절차 무력화도 의문점

'불법 초소형 기지국(펨토셀) 해킹'이라는 초유의 수법이 사용된 것으로 추정된 KT 고객 무단 소액결제 사건이 내부자 소행 혹은 대리점 연루 가능성 등이 제기되면서 파장을 키우고 있다.

정부는 전날인 10일 KT 망에 등록되지 않은 기지국 접속 정황을 확인하고 피해 규모가 278건, 약 1억7000여만원에 달한다며 합동조사단을 통해 규명하겠다고 밝혔다. 이동통신3사는 신규 펨토셀의 망 접속을 전면 차단했지만 정작 어떤 경로로 결제가 성립했는지는 여전히 밝혀지지 않은 상태다. 특히 "등록되지 않은 기지국이 어떻게 통신사의 핵심망(코어망)까지 접속해 소액결제까지 이뤄지게 했냐"는 점이 현재 풀리지 않는 지점이다. 정상적으로라면 여러 겹의 키값과 인증 절차를 거쳐야 하는데, 이번 사건에서는 이 과정이 무력화된 채 소액결제까지 이어졌다.

불법 기지국 통한 '도청+인증번호 탈취' 시나리오

펨토셀은 집이나 사무실 전파 음영을 보완하기 위해 쓰이는 소형 장비다. 원래는 통신사에 등록된 장비만 망에 붙을 수 있지만, 공격자가 등록되지 않은 가짜 기지국을 설치해 단말기를 유인하면 이용자의 통화와 문자가 모두 그 장비를 거친다.

김영대 카이스트(KAIST) 전기및전자공학부 교수는 이번 사건을 두고 사회관계망서비스(SNS)에서 "이동형 펨토셀을 변조해 문자 인증번호를 빼돌렸을 가능성"을 제시했다. 쉽게 말해, 공격자가 펨토셀 장비를 해킹해 배터리와 소형 컴퓨터를 붙이면 '이동식 가짜 기지국'이 된다. 이 장비를 켜면 주변 휴대전화가 '정상 기지국'으로 착각해 연결된다.

이 상태에서 피해자가 상품권 결제 등으로 OTP(일회용 비밀번호) 문자를 받으면, 메시지는 휴대전화뿐 아니라 해킹된 펨토셀에도 도착한다. 장비 안에 심어진 프로그램은 이 문자를 그대로 공격자에게 전송한다. 공격자는 동시에 온라인에서 결제를 시도하며 탈취한 인증번호를 먼저 입력한다. 피해자는 정상적으로 문자를 받지만, 이미 공격자가 사용한 뒤라 뒤늦게 결제 내역을 보고서야 피해를 알게 되는 구조다.

염흥열 순천향대 정보보호학과 교수는 "펨토셀이 불법적으로 통신망에 붙게 되면 공격자가 이용자들의 문자메시지를 훔쳐보거나 통화 내용을 도청할 수 있게 된다"면서 "펨토셀이 통신망에 접속할 때 인증 절차를 거쳐야 하는데, 인증 절차가 우회됐거나 절차 자체가 없던 것으로 의심된다"고 말했다.

가성비 낮은 해킹, 의도 따로 있나…내부자 소행·대리점 연루 가능성도

하지만 공격의 경제성을 고려할 때 단순 해킹설에는 의문이 남는다. 이형택 이노티움 대표는 "보통 해킹이라면 조용히 몇억원씩 빼내는 게 일반적인데, 굳이 복잡한 기지국 해킹을 택해 들키기 쉬운 방식으로 1억7000만원만 빼낸 건 이해하기 어렵다"고 지적했다.

그는 "범죄 효율로 보면 너무 '가성비'가 낮다"면서 "만약 해킹이 맞다면 오히려 해커 지망생들이 과시하려 했거나, 더 큰 사이버 공격을 위한 테스트베드일 가능성도 있다"고 말했다. 이어 "통신망의 취약점을 파악해 두었다가 전기·금융·통신을 동시에 마비시키는 공격으로 확대된다면 국가적 위기가 될 수 있다"고 말했다.

이런 이유로 모든 전문가가 '해킹'을 유일한 원인으로 보진 않는다. 국내 한 보안업체 관계자는 "펨토셀을 통한 탈취는 여러 가설 중 하나일 뿐"이라며 "실제 사건은 특정 지역 주민들이 집중적으로 피해를 본 점이 특징"이라고 말했다.

이 관계자는 "가짜 기지국은 물리적으로 가까운 사람을 무작위로 노리지만, 이번 건은 주소지와 생활권이 겹치는 피해자가 다수였다"며 "이는 특정 지역 대리점에서 개통·인증 절차가 한꺼번에 처리된 뒤 악용됐을 가능성을 시사한다"고 설명했다. 실제 일부 대리점은 신분증만 맡기면 개통부터 애플리케이션 설치, 인증 수단 등록까지 대행해주는 관행이 있어 보안 구멍으로 지목돼 왔다. 이런 과정에서 개인정보와 인증 절차가 한꺼번에 노출됐다면, 굳이 펨토셀 같은 장비가 없어도 피해가 발생할 수 있다는 것이다.

임종인 고려대 정보보호대학원 석좌교수도 "KT 코어망에는 인증된 장비만 접속할 수 있다. 외부 해커가 인증서와 패스워드를 알아내 접속한다는 건 사실상 불가능하다"고 말했다. 이 부분은 현재 KT에서도 설명하지 못하는 부분이다. 임 교수는 "만약 그런 능력이 있었다면 수십억원을 노려야 ROI(투자 대비 효과)가 맞는데, 이정도 피해로 끝난 건 납득하기 어렵다"고 말했다.

임 교수는 따라서 "외부 해킹보다는 협력사 직원이 내부 통제를 악용했을 가능성이 크다"고 강조했다. 그는 "협력사 직원이라면 현장 장비의 인증 정보를 알고 있을 수 있고, 기존 장비를 잠시 비활성화시킨 뒤 자신이 들여온 장비를 끼워 넣는 것도 가능하다"며 "이 과정에서 SMS 인증이 변조되면 소액결제 탈취는 충분히 가능하다"고 덧붙였다.

아울러 "KT가 수십건의 금융 이상 거래를 탐지하지 못한 것도 문제"라며 "이상거래 탐지 시스템(FDS)이 제 역할을 못 한 건 내부 통제 실패의 증거"라고 지적했다.

