▲ 경찰이 확보한 불법 펨토셀 장비
KT 무단 소액결제 사건을 수사해 온 경찰이 범인들이 이미 지난해 동일한 범죄를 시도한 정황을 포착했습니다.
KT는 이미 3년 전부터 BPF도어(BPFDoor) 악성코드 공격을 받아왔는데, 범인들이 이 당시 유출된 가입자 개인정보를 입수해 범죄를 저질렀을 가능성이 제기됩니다.
경기남부경찰청 사이버수사과는 오늘(29일) 오후 서울 정부종합청사에서 KT 무단 소액결제 사건 수사 결과를 발표하면서 "범인들이 지난해 5월 불법 기지국(펨토셀)을 운영한 정황이 나왔다"고 밝혔습니다.
경찰에 따르면 지난 8~9월 차량에 불법 펨토셀 장비를 싣고 수도권 특정 지역 아파트를 돌아다니면서 불상의 방법으로 해당 지역 KT 가입자들의 휴대전화를 해킹해 소액결제를 한 혐의로 구속된 한국계 중국인(중국동포) A(48) 씨에 앞서 다른 공범들이 동일한 범죄를 시도했다가 실패했습니다.
A 씨가 범행에 사용한 불법 펨토셀 장비는 지난해 4월 50대 한국인 B 씨가 평소 텔레그램을 통해 알고 지내던 상선으로부터 처음 전달받은 것입니다.
B 씨는 500만 원을 받는 대가로 상선(신원불상)의 지시에 따라 경기 남부 모처로 가서 불법 펨토셀을 수령한 뒤 운용에 나섰습니다.
그는 지인을 통해 일당 8만 원에 20대 남성 1명을 섭외한 뒤 같은 해 5월 2일부터 9일까지 8일간 불법 펨토셀을 차에 싣고 서울 전역을 돌아다니도록 했습니다.
이는 A 씨의 범행 방식과 동일한 이른바 '워 드라이빙' 수법을 쓴 것으로 두 사건이 매우 닮은 꼴입니다.
그러나 당시 범행은 펨토셀이 정상 작동하지 않아 실패로 돌아갔습니다.
B 씨는 불법 펨토셀 장비 중 일부를 중국으로 보내고, 나머지는 갖고 있다가 올해 6월 상선의 지시를 받아 중국동포 30대 C 씨에게 보관 중이던 장비를 전달했습니다.
C 씨는 이와 더불어 중국인 상선(인터폴 적색수배)이 보내준 펨토셀, 그리고 자신이 중국으로 가서 받은 노트북과 휴대전화를 지난 7월 19일 A 씨에게 건넸습니다.
이후 A 씨는 펨토셀 2점, 라우터(통신장비) 5점, 지향성 안테나, 부속품 등 총 31점으로 구성된 불법 펨토셀 장비를 가지고 범행했습니다.
남은 의문점은 범인들이 무단 소액결제에 필요한 가입자의 개인정보를 언제, 어디서, 어떻게 얻었는지입니다.
현재로선 KT가 2022년 4월부터 지난해 4월까지 BPF도어 악성코드 공격을 받았을 당시, 범인들이 밖으로 유출된 정보를 획득했을 가능성이 제기됩니다.
BPF도어는 중국 국가 배후 해커 그룹이 만든 것으로 알려졌는데, BPF도어에 감염된 KT의 서버 43대 가운데에는 가입자 개인정보가 저장된 서버도 포함된 것으로 파악됐습니다.
경찰은 BPF도어 악성코드 공격과 이번 사건 간의 연관성에 관해서는 확인이 불가능하다는 입장입니다.
한편 불법 펨토셀 장비 분석 결과 KT 인증서, KT 인증 서버 IP, 셀 ID, 관리자 접속 IP, 패킷 전송 소프트웨어(트래픽을 가로채 제삼의 장소로 전송하는 기능) 등의 전자정보가 발견됐습니다.
핵심인 KT 인증서의 경우 2019년 7월 경기 북부 모 군부대에 설치됐던 KT 펨토셀의 인증서로 확인됐고, 이 펨토셀은 이듬해 1월 막사 이전 과정에서 유실된 것으로 파악됐습니다.
경찰은 범인들이 유실된 KT 펨토셀을 입수해 저장돼 있던 인증서를 사용한 것으로 판단했습니다.
셀 ID와 관련, KT는 통신결제 데이터가 남아있는 기간인 지난해 8월부터 올해 9월 10일까지 전수조사를 통해 불법 펨토셀 ID 20개가 발견됐다고 발표한 바 있습니다.
경찰은 접속 로그기록, A 씨의 동선, 셀 ID 접속 가입자 지역 분포 등을 분석해 이 중 7개의 셀 ID가 불법 펨토셀 장비에 연동한 것으로 봤습니다.
그 외의 셀 ID는 ID당 단말기가 1~2개 정도만 연결된 것으로 조사돼 범인들이 시험 운영 목적으로 구동한 것으로 추정했습니다.
또 경찰은 이들 휴대전화 번호가 20개의 셀 ID에 교차 연결된 기록이 있어 모두 이 사건 범인들이 사용한 것으로 보인다고 전했습니다.
경찰은 KT 무단 소액결제 사건의 피해지역이 경기 광명, 과천, 부천, 고양, 서울 금천, 동작, 서초, 영등포, 인천 등 9개 지역이며, 피해자는 227명, 피해액은 1억 4천500여만 원에 달한다고 밝혔습니다.
과학기술정보통신부의 발표(368명·2억 4천300여만 원) 수치와는 차이가 있는데, 향후 이관 내역에 따라 집계 규모가 이와 비슷한 수준으로 늘어날 것으로 전망됩니다.
경찰은 A 씨를 비롯한 장비공급·운용 피의자 5명, 소액결제 건 현금화 등 자금세탁 피의자 3명, 대포폰 제공자 5명 등 총 13명을 검거(5명 구속)했습니다.
경찰 관계자는 "미검 피의자 2명 중 A 씨에게 범행을 지시한 중국인 상선은 인적사항을 특정해 인터폴 적색수배를 했으며, 범행 대가를 A 씨에게 전달한 송금책은 중국으로 출국한 것이 확인돼 수배 및 입국 시 통보조치했다"며 "해외에 거점을 두고 은신 중인 공범에 대해서도 끝까지 추적해 나가겠다"고 말했습니다.
(사진=경기남부경찰청 제공, 연합뉴스)