KT 소액결제 해킹, ‘유령 기지국’ 통한 신종 사이버 공격 첫 확인

[아이티데일리] KT 가입자를 노린 무단 소액결제 사건이 국내에서 처음으로 확인된 ‘가짜 기지국’ 해킹 기법에 의한 것으로 밝혀지면서 이동통신 보안에 경고등이 켜졌다. 지난달 말 첫 피해 신고 이후 KT가 현재까지 확인한 피해는 278건 1억 7천여만 원에 이른다. 특히 이번 사건은 KT의 안일한 초동 대처 탓에 피해가 늘어난 것으로 파악되면서 질타가 이어지고 있다.

경기남부경찰청 사이버수사대에 따르면 9일 기준 접수된 피해 사례는 경기 광명 73건(4,730만 원), 서울 금천 45건(2,850만 원), 경기 부천 6건(480만 원) 등으로 집계됐다. 여기에 과천, 인천 부평, 서울 영등포 등에서도 동일한 유형의 손실이 계속 신고됐다. 이후 10일 과학기술정보통신부 발표에 따르면, KT 자체 조사 결과 현재까지 총 278건 1억 7천여만 원에 달하는 피해가 발생한 것으로 집계됐다.

이번 사건은 공격자들이 위조된 기지국을 이용해 개인정보를 빼낸 새로운 해킹 방식이 실제 금전적 피해를 만들어냈다는 점에서 특히 주목된다. 과기정통부는 8일 현장 점검에서 KT 소유가 아닌 불법 초소형 기지국이 KT 네트워크에 접속했다는 사실을 파악했다고 발표했다. KT 역시 자체 분석에서 피해자의 스마트폰이 회사 관리 대상이 아닌 의심스러운 기지국에 연결된 기록을 발견했다고 밝혔다.

이번 범행을 가능하게 한 핵심 도구로 꼽히는 불법 초소형 기지국은 일명 ‘펨토셀’이라 불리는 장비다. 10m 반경 내에서 통신 서비스를 제공하는 가정용 소형 기지국으로, 트래픽 분산이나 전파 음영지역 해소용으로 쓰인다. 해커들은 이 장비를 탈취하거나 위조품을 제작해 이용자들의 통화 기록과 개인정보를 가로챈 것으로 분석된다.

피해자들은 공통적으로 심야 시간에 본인 인지 없이 모바일 상품권 구매나 교통카드 충전 등의 명목으로 소액결제가 실행돼 피해를 입었다. 특히 인증 메시지나 결제 알림을 받지 못한 상태에서 결제가 처리된 점이 특징적인데, 이로 미뤄 봤을 때 해커들이 위조 기지국을 통해 SMS를 차단하거나 인증 절차를 무력화한 것으로 추정된다.

이번 사건에서는 특히 KT의 초기 반응이 큰 비판을 받고 있다. 경찰이 1일과 2일 KT 본사와 지점에 연속적인 소액결제 피해 발생을 알렸지만, 당시 KT 측이 “KT 시스템은 해킹이 불가능하다”, “그런 상황은 발생할 수 없다”며 문제 발생 자체를 부정한 것이다. 이후 최초 신고 후 열흘이 지나서야 홈페이지에 관련 공지를 올렸으며, 그동안 피해가 지속적으로 늘어난 것으로 파악된다.

게다가 KT는 불법 기지국 침투 가능성을 과기정통부에 보고하면서도 국회에는 “특이사항 없다”고 거짓 보고한 정황까지 확인돼 은폐 의혹까지 불거지고 있다. 이는 올해 4월 SK텔레콤의 유심카드 정보 유출 사태에서 보인 미온적 대응과 흡사한 모습으로 지적된다. 이에 통신업계의 보안 사고 처리 시스템에 근본적으로 문제가 있는게 아니냐는 등 다양한 비판이 나오고 있다.

이번 사건으로 KT는 이동통신업계에서 가장 많은 1조 원 이상을 보안에 투입했다고 홍보해온 것과달리 실제 보안 대응에는 허점이 많았다는 질타를 받고 있다. 과기정통부는 9일 오전부터 KT에 새로운 조소형 기지국의 네트워크 접속을 전면 차단하도록 명령했으며, 민관합동조사단을 구성해 정확한 피해 원인과 범위를 규명하고 있다.

SK텔레콤과 LG유플러스는 현재까지 유사한 불법 기지국이 발견되지 않았다고 밝혔으나, 예방 차원에서 보안 감시를 강화하고 있다. 특히 이번 사건이 이동식 기지국을 활용한 것으로 추정돼 다른 지역에서도 비슷한 피해가 발생할 가능성을 배제할 수 없는 상황이다.

한 국내 보안 업체 연구소장은 “이번 KT 소액결제 해킹 사건은 기존 스미싱이나 피싱과는 크게 다른 양상이라는 점에서 보안 종사자들의 관심이 높다. 물리적 네트워크 침해를 통한 신종 사이버 공격이 국내에서 처음 확인된 사례이기 때문”이라면서 “펨토셀 장비의 화이트리스트 기반 관리 등과 같은 문제를 포함, 통신사의 보안 체계와 초기 대응 매뉴얼 전반에 대한 재검토가 불가피할 것으로 보인다”고 말했다.