불법 초소형 ‘가상 기지국’ 활용 정황…정부 합동 조사단 투입
[메가경제=황성완 기자] KT 이동통신 가입자들을 대상으로 한 소액결제 피해 사태가 ‘가상 기지국(불법 초소형 기지국)’을 활용한 신종 해킹 수법 때문인 것으로 드러났다. 해커들의 공격 방식이 기존 보안 체계의 사각을 노린 것으로 확인되면서 파장이 커지고 있다.
 |
| ▲[사진=연합뉴스] |
◆ 경기 광명·서울 금천구 서 수도권 전역으로 피해 확산
10일 업계에 따르면 지난달 경기 광명시와 서울 금천구에서 KT 가입자들을 중심으로 새벽 시간대에 집중 발생했던 무단 소액결제 피해는 최근 경기 부천시 등 수도권 일대로 확산됐다.
경기남부경찰청 집계 기준 피해 규모는 광명 73건(4730만원), 서울 금천 45건(2850만원), 부천 소사 6건(480만원) 등이며, 인천 부평, 경기 과천, 서울 영등포 등에서도 유사 사례가 보고됐다. 피해자들은 모두 KT 가입자였고, KT망을 기반으로 한 알뜰폰 사용자도 일부 포함된 것으로 전해졌다.
피해자들의 사례를 보면 인증 절차 자체가 무력화됐다. 한 이용자의 경우 통신 앱 패스(PASS) 인증 내역에 새벽 4시 상품권 사이트 문자 인증 기록이 남았지만 실제로는 휴대전화에 관련 문자가 오지 않았다.
카카오톡 로그아웃을 경험한 피해자는 카카오가 "고객의 휴대전화 번호로 새로운 카카오톡이 가입된 것으로 확인된다"며 "가입을 위한 ARS 인증까지 정상적으로 완료됐던 이력이 확인된다"고 설명했다.
◆ 정체 불명 기지국, 이용자 트래픽 강탈…해커 소행
이번 사건의 핵심은 불법 초소형 기지국(가상 기지국)이다. 과학기술정보통신부(과기정통부)는 현장 조사 결과, 정체불명의 기지국이 이용자 트래픽을 가로채 개인정보 탈취 및 소액결제 범행에 활용됐을 가능성을 확인했다고 전했다. 해커가 KT 정식 장비가 아닌 별도의 기지국을 설치해 이용자 휴대전화가 해당 기지국에 접속되도록 유도한 것으로 추정된다.
업계에선 초소형 기지국 역할을 하는 통신 장비가 '펨토셀'이라고 보고 있다. 펨토셀은 반경 10m 통신을 제공하는 가정이나 소규모 사무실용 초소형, 저전력 이동통신 기지국이다.
데이터 통신량 분산이나 음영지역 해소 목적으로 사용되는 기기로, 네트워크 신호가 약한 가정이나 사무실에서 통신 품질을 높이기 위해 설치된다. 다만, 보안 관리가 허술해 해커들이 개인정보를 탈취하는 통로로 악용될 수 있다는 우려가 나온다.
 |
| ▲KT 공지사항 캡쳐. [사진=메가경제] |
◆ KT "추가 피해 차단…개인정보 유출 없어"
KT는 현장 점검에서 불법 기지국의 존재를 확인하지 못했으나, 당국 요구에 따라 신규 초소형 기지국의 통신망 접속을 전면 차단했다. 과기정통부는 전날 최우혁 정보보호네트워크정책관을 단장으로 하는 민관 합동조사단을 꾸려 신속히 원인 규명에 나섰다.
KT는 이번 사태와 관련해 사과하며, 피해 고객 대상 조치를 진행 중이라고 밝혔다. KT 관계자는 “전체 고객을 대상으로 비정상 소액결제 발생 여부를 전수 조사하고 있으며, 1차로 확인된 고객에게는 개별 연락해 조치를 취하고 있다”며 “지난 5일부터 비정상적인 소액결제 시도를 차단했고 현재까지 추가 피해는 없다”고 설명했다.
또한 “개인정보 해킹 정황은 없는 것으로 확인됐다”며 “관련 기관과 협력해 조속히 원인을 규명하고 재발 방지에 최선을 다하겠다”고 강조했다.
업계에선 이번 일이 다른 통신사로 확산할 가능성에 대해 우려를 표출하고 있다. 한 업계 관계자는 “KT 가입자들을 중심으로 피해가 발생했지만, 불법 기지국이 활용된 만큼 다른 통신사 가입자도 언제든 표적이 될 수 있다. 이번 사건을 계기로 국내 통신업계 전반의 보안 점검과 제도 보완이 불가피할 것으로 보인다"고 말했다.
한편, 일각에서는 KT가 늦장 대응을 했다는 지적이 나오고 있다. 8월 27일 최초 신고가 접수된 뒤 경찰은 지난 1~2일 KT 본사와 지점, 중개소 등에 연락을 취했지만, KT는 "해킹당할 수가 없다" 등의 취지로 답한 것으로 알려졌다. 또 지난 8일 한국인터넷진흥원(KISA)에 신고하는 과정에서 '피해 사실 인지 전 이상 징후가 없었다'고 명시한 것으로 나타났다.
[ⓒ 메가경제. 무단전재-재배포 금지]
