KT 소액결제 해킹, '불법 기지국'으로도 설명되지 않는 미스터리

특정 지역 KT 가입자를 겨냥한 무단 소액결제 사건이 불법 초소형 기지국(펨토셀)을 이용한 해커의 소행으로 굳어지는 가운데, 여전히 풀어야 할 의문이 적지 않습니다.

향후 당국의 조사 초점은 등록되지 않은 펨토셀이 어떻게 KT 핵심망에 접속했는지, 어떤 과정을 거쳐 소액결제가 이뤄졌는지, 그 과정에서 개인정보가 탈취됐는지 여부 등에 맞춰질 전망입니다.

10일 과학기술정보통신부 브리핑에 따르면 이번 사건은 등록되지 않은 불법 펨토셀의 접속에서 비롯된 것으로 추정됩니다.

사건의 실마리는 일부 드러났지만 규명해야 할 쟁점은 산적해 있습니다.

먼저 불법 펨토셀의 접속 과정부터 수수께끼입니다.

KT는 자사가 운영하는 펨토셀이 해킹된 것은 아니며 정체불명의 펨토셀이 코어망에 붙은 것으로 파악합니다.

구재형 KT 네트워크기술본부장은 "관리시스템에 등록되지 않은 ID만 보였지 저희도 이 실체는 모르고 있다"며 "어떻게 연동됐는지는 합동 조사를 통해 확인하고 있고 기존 장비에는 전혀 이상이 없다"고 말했습니다.

또 불법 펨토셀이 망에 접속했다 해도 소액결제가 이뤄지려면 개인 정보를 바탕으로 한 인증 절차를 거쳐야 합니다.

이 과정이 어떻게 뚫렸는지는 여전히 오리무중입니다.

류제명 과기정통부 2차관은 "그런 의문점에 대한 답을 우리도 KT에 물어봤는데 명쾌한 원인분석이나 메커니즘에 대한 설명이 안 되고 있다"며 "구체적인 상황에 대한 KT의 답변은 저희로서도 못 받았고 조사 과정에서 밝혀질 것"이라고 말했습니다.

이에 일각에서는 유심(USIM) 유출을 통한 가입자식별번호(IMSI)·키값 탈취 가능성을 거론합니다.

그러나 KT 관계자는 "불법 무선 장치가 있었던 걸로 보여 유심 해킹과는 상관이 없다고 본다"고 선을 그었습니다.

사건이 KT에서만 발생한 이유도 풀리지 않았습니다.

류 차관 역시 "답을 내놓기 어렵다"고 했습니다.

한 보안업계 관계자는 "해커가 KT의 기지국 관련 정보를 외부에서 확보했거나, 내부 취약점이나 내부자 결탁을 통해 정보를 빼냈을 가능성도 배제하기 어렵다"고 말했습니다.

펨토셀을 통한 범죄로 어떤 정보가 빠져나갔는지도 여전히 미지수입니다.

학계에서는 단순히 기지국 정보만으로 소액결제가 이뤄지기는 어렵다며, 일정 수준의 개인정보 유출 가능성에 무게를 두고 있습니다.

일부 피해자들이 소액결제가 이뤄진 새벽 휴대전화 카카오톡에서 로그아웃됐다고 증언한 점도 풀어야 할 점입니다.

보안 전문가는 "누군가 또 다른 기기에서 동일 계정을 접속했다는 것"이라고 말했습니다.

다만 당국은 "로그아웃이 영향이 있는 부분인지 단순히 민원인이 그런 현상을 보고 제보한 건지는 조사단에서 확인할 예정"이라고 밝혔습니다.

류 차관은 "개인정보 유출 정황에 대한 문제는 합동조사단이 막 조사를 시작한 단계고, KT가 합동조사단에 정확한 이야기는 하지 않은 상태"라며 "개인정보보호위원회에서 개인정보 유출 정황과 관해 별도로 조사할 계획으로 안다"고 말했습니다.

미국 보안 전문지 '프랙'이 주장한 북한 연계 해킹 조직 '김수키'의 KT·LG유플러스 해킹과 이번 사건의 연관성도 따져볼 과제입니다.

류 차관은 "지금 단계에서 연관성을 말씀드리기는 어렵다"면서도 "두 사건의 관련성에 관해서도 확인해 보겠다"고 했습니다.