[디지털데일리 강소현기자] KT의 ‘ARS 안심인증’이 최근 발생한 무단 소액결제 사고에서 제 기능을 못한 것으로 드러났다. KT가 부정결제를 막기 위한 부가서비스라고 홍보해온 가운데, 이번 건의 경우 기존의 복제단말을 이용한 소액결제 범죄와는 다르다는 의견이 나온다.
정확한 사고 경위는 아직 파악 중인 가운데, KT의 대응을 두고선 아쉬움의 목소리가 나온다. KT는 고객 선택사항인 개인비밀번호(PIN)’를 설정했다면 피해 방지가 가능했을 수 있다고 해명했지만, 고객 불안 야기를 이유로 서비스 가입 안내 등 적극적인 대응은 정작 피하고 있다는 지적이다.
23일 국회 과학기술정보방송통신위원회(이하 과방위) 소속 김장겸 의원실(국민의힘)이 KT로부터 제출받은 자료에 따르면, KT 소액결제 피해자 362명 중 5명이 사고 발생 이전(8월5일 기준) 이미 ‘ARS 안심인증’에 가입돼 있었다.
‘ARS 안심인증’은 휴대폰 결제가 시도 시 구매내역을 자동응답전화(ARS)으로 사전 안내하는 서비스다. 휴대폰에 통화 연결이 될 때 통신망 단계에서 발신번호와 기기 정상여부를 확인하여 이와 일치하지 않는 대포폰에 의한 부정결제를 걸러내는 방식이다.
다만, 해당 서비스 가입자들 역시 이번 무단 소액결제 피해를 입은 것으로 확인됐다. 다른 피해자들과 마찬가지로 결제에 대한 ARS 인증문자를 사전에 받지 못한 것으로 나타났다.
더욱이 소액결제 피해자 중에는 PIN 설정이 필수로 요구되는 유료서비스 '휴대폰 안심결제' 가입자도 3명 있는 것으로 확인됐다.
이에 전문가들은 이번 사고가 복제단말이 아닌, KT 망의 취약성을 악용할 범죄일 가능성이 높다고 보고 있다.
KT와 민간합동조사단은 ‘펨토셀’을 활용한 범행일 가능성에 주목해왔다. 관리가 허술한 펨토셀(Femtocell)을 ‘가짜 기지국’(Fake Base Station)처럼 동작해 KT의 코어망에 붙었다는 설명이다.
펨토셀은 실내 통신 품질을 높이기 위해 가정이나 사무실에 설치하는 소형 기지국 장비로, 코어망에 붙어 인증 절차가 성공적으로 이뤄진 것처럼 위조 신호를 흘려보냈을 것이라는 관측이다.
업계는 이 경우 해당 서비스가 제대로 작동하지 않았을 것이라 보고 있다. 이 서비스는 통신망이 제공하는 신호가 위조됐을 가능성을 전제해 설계된 것이 아니기 때문이다.
즉, 펨토셀이 위조된 정상 인증 신호를 흘려보내면 ‘ARS 안심인증’은 가려낼 수 없다는 게 전문가들의 중론이다. 서비스 취지는 유효하지만, 망 보안이 뚫리면 한계가 있다는 지적이 나오는 이유다.
이에 대해 KT는 고객이 ‘PIN번호’를 설정했다면 피해를 미연에 방지할 수 있었을 것이라는 입장이다. PIN번호을 미리 설정해 둔 경우 해당 비밀번호를 입력해야만 인증번호가 발송되는데, KT는 해당 인증절차 추가를 고객의 선택에 두고 있다.
KT 관계자는 “무단소액 결제로 금전적 피해가 발생한 경우 부가서비스 가입여부와 무관하게 KT가 100% 보상 완료했다”라며 “ARS안심인증 서비스는 고객센터 상담을 통해서만 가입이 가능하며, 한층 더 안전한 서비스를 제공하기 위해 추가 비밀번호 설정을 안내하고 있다”라고 설명했다.
KT는 해당 서비스에 대한 전 고객 대상 안내는 유보하고 있는 상황이다. 사고 원인이 규명되지 않은 가운데, 선제적 대응이 오히려 고객의 불안감을 유발할 수 있다는 설명이다.
KT는 소액결제 승인이 완료되려면 결국 이름·생년월일 등의 개인정보가 필요하다 점에서 펨토셀 해킹을 통한 IMSI 유출과의 직접적 연관성은 “확인중”이라며 선을 긋고 있다.
업게 일각에선 이러한 KT의 대응을 두고 사고 규모 축소에 급급해선 안된다는 비판이 제기된다. 아직 확인되지 않은 사고의 구체적 경위와 별개로, 해커가 펨토셀을 통해 통신망의 뼈대에 해당하는 '코어망'에 접근 가능했다는 사실 만으로도 망 관리 전반의 허점을 드러낸다는 지적이다.
더욱이 최근엔 KT 내부 서버 침해 정황까지 새롭게 발견되면서 개인정보가 내부에서 유출됐을 가능성도 배제하기 어렵게 된 가운데, 또 다른 고객 피해도 우려되는 상황이다.
김장겸 의원은 “ARS 인증을 강화해 타인이 내 명의로 결제하는 것을 차단하고 자동으로 보안이 적용돼 편리하면서도 안전한 휴대폰 결제 환경을 제공한다는 KT의 설명과 달리, 이번 ARS 소액결제 피해 상황에서 무용지물인 것으로 드러났다”며 “이용자가 믿고 가입했음에도 정작 피해를 막지 못한 채 ‘무늬만 보안 서비스’를 제공한 KT는 책임을 인정하고 제대로 된 보안 대책을 내놓아야 한다”고 지적했다.
한편, 앞서 서울·경지 지역 KT 고객을 중심으로 소액결제 다중피해 사건이 발생했다. KT 발표에 따르면 현재 누적 피해 고객 수는 362명, 피해 금액은 2억4000만원으로 집계됐다.
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
