| 한스경제=박정현 기자 | KT의 소액결제 침해사고가 불법 초소형기지국(펨토셀)에서 비롯됐다는 정황이 드러났지만 해킹 수법은 여전히 안갯속에 갇혀 있다. 단말기고유식별번호(IMSI) 유출과 무단 소액결제 피해를 직접 연결할 수 있는 인과관계가 확인되지 않았기 때문이다.

현재까지 KT가 인정한 사실은 불법 펨토셀 2대를 확보했고 이 장비 신호를 수신한 이력이 있는 고객이 1만9000여명이라는 점이다. KT는 이중 LTE를 사용하면서 당시 문자나 전화를 송수신한 5561명의 IMSI가 실제로 유출됐을 가능성을 인정했다. 무단 소액결제 피해자 278명도 모두 이 범주에 속한다. 그러나 IMSI는 단순히 가입자와 네트워크를 구분하는 번호표 성격의 정보로 결제에 필요한 이름·주민등록번호·휴대전화번호와 같은 개인정보는 포함하지 않는다.

전문가들은 이번 사건에서 다른 개인정보가 추가로 유출됐거나 외부에서 결합된 정황이 있는지 주목한다. 휴대전화 소액결제 과정은 본인인증 절차 → SMS·ARS 인증 → 통신사 서버 승인 등 3단계를 거치며 IMSI만으로는 이를 통과할 수 없기 때문이다. KT 역시 기자간담회에서 “소액결제 인증 과정에서 필요한 ARS 정보가 어떻게 유출됐는지는 우리도 해석되지 않는 지점”이라고 말했다. 그러면서 “불법 펨토셀 문제와 별개로 보고 있다. 경찰 수사가 필요한 사안”이라고 답했다.

펨토셀이 소액결체 침해사고의 원인으로 확정되기에는 빈틈이 있지만, KT의 기기 관리 체계 허점이 밝혀지며 논란은 가중되고 있다. KT가 운용하는 초소형 기지국은 15만7000여대로 SK텔레콤(7000대), LG유플러스(2만8000대) 대비 압도적으로 많다. 국회 과학기술정보방송통신위원회 소속 최수진 국민의힘 의원은 “KT가 LTE 전국망 주파수 대역으로 1.8GHz를 사용했기 때문에 전파 회절에 상대적으로 취약했고 이를 보완하기 위해 펨토셀을 대규모로 운영했다”고 지적했다. KT의 펨토셀 관리와 폐기 단계에서의 취약점이 결국 개인정보 유출의 원인이 된 것 아니냐는 비판을 피할 수 없게 됐다는 지적이다. 

구재형 KT 네트워크기술본부장은 “KT 인증 절차를 무시하고 불법 펨토셀이 망에 연결된 이유는 일부 장비가 불법 취득돼 개조됐거나 특정 시스템을 통해 장비 일부가 옮겨졌을 가능성이 있다”며 “망에 연동된 것은 기존 연동 장비였기 때문이라고 추정한다”고 밝혔다. 그는 “운용 중인 장비 전수조사를 완료했고 ID나 관리체계가 없는 장비는 개통되지 않도록 관리 시스템을 강화했다”고 설명했다. 경쟁사 SKT와 LG유플러스 경우 펨토셀은 반드시 전문 기사가 설치하도록 하고 있다.

보안 구조 차이도 드러났다. 통상 문자메시지는 단말기와 기지국을 연결하는 에어망, 기지국과 통신사 중앙 서버를 연결하는 코어망을 거친다. SKT와 LG유플러스는 단말기에서 복호화를 처리하지만, KT는 기지국 단계에서 복호화가 이뤄진 뒤 코어망으로 전달되는 구조임이 드러났다. 이런 방식은 펨토셀이 해킹되거나 미등록 기지국이 망에 연결될 경우 문자 내용이 쉽게 노출될 수 있다. 김용대 카이스트 전기및전자공학부 교수는 “두 가지 모두 표준 기술이지만 펨토셀 해킹 대응 측면에선 SKT 방식이 더 안전하다”고 설명했다.

아직 민관합동조사단의 조사 결과가 드러나지 않은 만큼 KT 해킹 사고를 두고 가설이 분분하다. 김승주 고려대 정보보호학과 교수는 “정말 펨토셀로 개인정보를 탈취한 것인지, 인증 절차는 어떻게 통과했는지 등 아직 풀리지 않은 퍼즐이 너무 많다”고 지적했다. 박춘식 아주대 사이버보안학과 교수는 “해커가 다크웹 등에서 개인정보를 확보한 뒤 소액결제에 악용했을 가능성이 있다”며 “펨토셀에 백도어나 악성코드를 심는 방식도 배제할 수 없다”고 말했다.

박정현 기자 awldp219@sporbiz.co.kr