KT 해킹 범인 검거로 수습되나…보안대응·신뢰회복 여전한 과제

| 한스경제=박정현 기자 | KT 소액결제 해킹사고의 유력 용의자가 16일 검거되면서 일파만파 확산되던 사태가 일정 부분 수습 국면에 접어들었으나 국내 기업과 기관의 사이버침해 보안 대응에는 여전히 물음표를 남기고 있다.

18일 경기남부경찰청에 따르면 경찰은 용의자의 장비를 입수해 확인 중이며, 피해자의 휴대전화 포렌식도 진행하고 있다. 향후 불법 초소형기지국(펨토셀)에 대한 포렌식이 진행되면 원인 규명에 큰 도움이 될 것으로 보인다.

곽진 아주대 사이버보안학과 교수는 "일부 정보는 유실됐을 수 있어 모든 수사 정보가 나오진 않겠지만, 용의자 검거와 장비 분석은 상당한 진전"이라며 "포렌식을 했을 때 나오는 정보가 어느 정도 되느냐에 따라 달라 수습 양상이 달라질 것 같다"고 말했다.

현재까지 KT 소액결제 해킹사고의 가장 큰 미스터리는 펨토셀을 활용한 단말기고유식별번호(IMSI) 입수로 어떻게 소액결제까지 도달했냐는 것이다. IMSI는 단순히 가입자와 네트워크를 구분하는 번호표 성격의 정보로 결제에 필요한 이름·주민등록번호·휴대폰 번호와 같은 개인정보는 포함하지 않는다. 

KT가 인정한 사실도 불법 펨토셀 2대를 확보했고 이 장비 신호를 수신한 이력이 있는 고객이 1만9000여명이며 이 중 LTE를 사용하면서 당시 문자나 전화를 송수신한 551명의 IMSI가 유출된 정황이 있다는 점이다. 무단 소액결제 피해자 278명은 이 범주에 속하는데, KT는 "소액결제 인증 과정에서 필요한 ARS 정보가 어떻게 유출됐는지는 우리도 해석되지 않는 지점"이라고 11일 기자간담회에서 밝힌 바있다. 

해킹 경로에 대한 의문이 풀리더라도 KT가 1만9000여명의 고객을 해킹 위험에 노출시켰으며, ARS 인증에 사용됐을 다른 개인정보가 추가로 유출된 가능성이 남은데다 펨토셀 등 장비 관리의 허점이 밝혀졌다는 사실은 변함이 없다.

KT는 15만여대로 이통3사 중 가장 많은 펨토셀을 가지고 있으면서도 관리가 미흡했던 것으로 알려진다. 국회 과방위 소속 최수진 의원실에 따르면 이통3사가 운영하는 펨토셀 19만5000대 중 33%가 미작동 상태로 확인됐다. 신호가 잡히지 않는 펨토셀의 80% 이상이 KT에서 발생했다. LG유플러스는 2만8000대 중 4000대, SK텔레콤은 1만대 중 3000대가 미작동 상태였다. 

경쟁사보다 보안 구조도 취약했다. 문자메시지 송수신 과정에서 SKT와 LG유플러스는 단말기에서 복호화가 이루어지지만 KT는 기지국 단계에서 복호화 후 코어망으로 전달된다. 이 방식은 펨토셀이 해킹되거나 미등록 기지국이 연결될 경우 문자 내용 노출 위험을 높인다.

SKT 유심 해킹사고 여파로 이통사 보안 허점이 지적받는 상황에서 KT는 개인정보 유출 사고로 소비자의 불안을 극대화했다. 

특히 KT는 이번 소액결제 침해사고에서 여러번 늑장 대응과 입장 번복을 반복했다. 

앞서 경찰이 지난달 27일 본인도 모르는 사이에 휴대전화 소액결제가 이뤄진다는 내용의 신고를 처음 접수해 1일 KT에 알렸지만 KT는 5일이 돼서야 비정상적인 소액결제 시도를 차단했다. 기업이 홈페이지 관련 공지사항을 띄운 것은 6일이다. 과기정통부에 소액결제 침해사고 신고는 일주일이 지난 8일에 했고 9일이 돼서야 불법 초소형 기지국 접속 차단 신규 등록 중단했다. 10일 과학기술정보통신부에 개인정보 유출 정황이 없다고 보고했지만 11일 IMSI 유출 정황을 확인해 개인정보보호위원회에 오후 2시30분 신고했다.

국회 최민희 과방위원장은 KT가 해킹 통보 후 서버를 무단 폐기해 조사가 사실상 불가능해졌다고 강도 높은 비판을 이어가고 있다. 

업계에 따르면 KT는 오후 기자간담회를 열고 대응 현황을 설명한다. 11일 KT는 1만9000명을 상대로 무료 유심교체와 유심보호서비스 가입을 지원하기로 한 바 있다. 위약금과 위자료 등 고객 보상 방안은 아직 논의 중이다. KT 관계자는 "고객 입장에서 위약금 면제 부분을 검토할 수 있게 하겠다"고 말했다.