“이번 해킹사건에서 범인을 잡는 것 자체는 그리 어려운 일이 아니었다. 이들이 펨토셀(femtocell·초소형 기지국)을 갖고 이동한 경로를 따라 피해가 집중됐고 그 동선에 있는 폐쇄회로(CC)TV 영상을 확인하면 범인을 특정할 수 있기 때문이다. 관건은 이들이 구체적으로 어떻게 KT 핵심망을 뚫었는지, 알려지지 않은 또 다른 허점은 없는지 확인하는 것이다.”

“KT 통신망 취약점 찾아 개선해야”

‘KT 무단 소액결제’ 사태에 대해 사이버 보안 전문가들이 내놓은 분석이다. 경찰이 용의자들을 체포해 수사가 급물살을 타고 있는 가운데 앞으로 풀어야 할 의문도 적잖다. 핵심은 이들이 범행에 악용한 펨토셀을 어떻게 입수해 해킹에 성공했고, 이 과정에서 KT 내부 조력자나 범죄 ‘윗선’은 없었는지 여부다. 김명주 서울여대 정보보호학과 교수는 “펨토셀을 다시 사용하려면 보안 재승인을 받아야 하는데, 용의자들이 어떻게 보안 승인을 받고 KT 통신망에 접속할 수 있었는지 규명할 필요가 있다”며 “KT 통신망의 취약점을 찾아 개선하지 않으면 비슷한 사태가 또 발생할 수 있다”고 말했다.  

펨토셀은 휴대전화와 통신사 네트워크를 연결하는 일종의 초소형 기지국이다. 대형 기지국 전파가 약한 지역이나 건물 내부 등 통신 음영 지역에 주로 설치한다. 와이파이(Wi-Fi) 공유기처럼 크기가 작아 가정이나 사무실 등에서 널리 쓰인다. 일반 기지국에 비해 관리가 허술하기 쉽다. 업계 추산에 따르면 KT 펨토셀은 15만7000대로 SK텔레콤(1만 대)이나 LG유플러스(2만8000대)에 비해 많다. KT는 나머지 두 이동통신사와 달리 고대역 주파수를 사용하는 특성상 통신 음영 해소를 위해 펨토셀을 많이 운영하는 것으로 알려졌다. 

경기남부경찰청 사이버수사대는 9월 16일 이번 사태 용의자인 중국 국적의 40대 장모 씨와 류모 씨를 검거했다. 장 씨는 9월 말부터 이달 초까지 펨토셀을 차량에 싣고 서울 금천구, 경기 광명 일대를 돌며 KT 이용자들의 휴대전화를 해킹해 소액결제를 한 혐의를 받는다. 류 씨는 장 씨가 불법 소액결제로 확보한 모바일 상품권을 현금화해 중국으로 보낸 혐의가 적용됐다. 경찰은 장 씨가 범행에 사용한 펨토셀을 확보해 그 출처와 해킹 방법을 규명할 계획이다. 현재까지 경찰이 확인한 피해 규모는 199건, 1억2600만 원이다. 반면 KT가 자체 파악한 규모는 9월 18일 기준 362건, 2억4000만 원에 달해 미처 피해 사실을 파악하지 못한 이용자도 적잖은 것으로 보인다. 소액결제 피해와 별개로 KT 가입자 5561명의 가입자식별번호(IMSI)도 유출됐다. 

KT는 소액결제 피해를 한 달가량 늦게 차단한 정황도 드러났다. 당초 KT 무단 소액결제는 8월 27일 서울 금천구와 경기 광명에서 처음 시작된 후 서울 영등포구, 인천 부평, 경기 과천·부천 등으로 확산한 것으로 파악됐다. 이 지역에서 “나도 모르게 휴대전화 소액결제로 수십만 원이 빠져나갔다”는 신고가 이어졌다. 하지만 실제로는 경찰에 피해 신고가 접수되기 전인 8월 5일 첫 피해가 발생한 것으로 드러났다. 더불어민주당 황정아 의원이 KT로부터 제출받은 자료에 따르면 KT 무단 소액결제는 8월 5일 2건을 시작으로 9월 3일까지 527건(피해자 278명)이 발생했다. 경찰로부터 9월 1일 무단 소액결제 피해를 통보받은 KT는 별다른 조치를 취하지 않았다. KT는 109건의 추가 피해가 발생한 후인 9월 5일에서야 비정상 소액결제를 차단했다.  



펨토셀을 사용한 해킹 우려는 이미 2010년대 초반 제기됐다. KAIST 연구팀은 2014년 펨토셀을 해킹해 휴대전화를 도청하거나 문자메시지를 가로챌 수 있음을 확인한 바 있다. 당시 연구를 주도한 김용대 KAIST ICT 석좌교수는 9월 17일 기자와 전화 통화에서 “당시는 펨토셀이 설치되기 시작한 초기라서 취약점이 많았고, 실험으로 확인한 취약점을 국내 이동통신 3사에 제보했다”며 “당시 세 업체 모두 펨토셀 관련 보안을 강화한 것으로 안다”고 말했다. 이후 10년 이상 시간이 흐르는 사이 보안에 허점이 발생했고 펨토셀 악용 범죄가 현실화한 것으로 보인다. 

펨토셀 중 특히 해킹에 취약한 것은 보안 강화 조치가 적용되지 않은 구형 모델이다. 김 교수는 “10여 년 전 쓰인 구형 펨토셀을 확보한다면 당시 우리가 했던 실험과 비슷한 결과를 도출할 수 있을 것”이라면서 이번 사건 범행 수법과 관련해 가능한 ‘시나리오’를 설명했다. 김 교수의 설명을 정리하면 이렇다. 우선 모종의 방식으로 확보한 KT 펨토셀에 소형 컴퓨터와 LTE ‘에그’(휴대용 와이파이 중계기), 배터리를 연결해 이동식 펨토셀을 만든다. 그 후 해당 펨토셀에 백도어를 설치해 일종의 문자메시지·통화 감청 장치로 만든다. 이런 상황에서 주변을 지나는 휴대전화 사용자가 소액결제를 시도하면 인증번호가 담긴 문자메시지(SMS)가 실제 사용자가 아닌 펨토셀로 전송된다. 범인들은 해킹된 펨토셀로 암호화된 정보를 평문으로 확인할 수 있다. 이를 바탕으로 온라인 상점에서 피해자 명의로 결제하고 인증 문자메시지까지 입력하면 범행이 일단락되는 것이다. 

개인정보 유출 우려

주목할 점은 해킹된 펨토셀에 접속된 휴대전화가 1만9000대에 달했는데도 지금까지 확인된 피해자는 수백 명에 그친다는 점이다. 휴대전화 소액결제에는 이름, 전화번호, 주민등록번호 등 개인정보가 필요하다. 범인들이 펨토셀로 휴대전화를 해킹한 뒤 다른 경로로 확보한 개인정보와 대조해 피해자를 선별했을 개연성이 제기되는 이유다.  

일각에선 이번에 검거된 범인과 범행이 ‘빙산의 일각’에 불과하다는 우려도 나온다. 크게 ‘한탕’을 노리는 해커 입장에선 현재 파악된 피해 금액이 적은 데다, 범행 수법상 검거 우려도 높기 때문이다. 범죄 수익에 비해 리스크가 크다는 점에서 ‘가성비’가 떨어지는 것이다. 용의자 장 씨는 9월 18일 범행 경위를 묻는 취재진 질문에 “시키는 대로 했다”고 답해 향후 경찰 수사로 윗선 존재 여부와 여죄가 밝혀져야 할 것으로 보인다. 

_{*유튜브와 포털에서 각각 ‘매거진동아’와 ‘투벤저스’를 검색해 팔로잉하시면 기사 외에도 동영상 등 다채로운 투자 정보를 만나보실 수 있습니다.}