용인강간변호사 ■김해수씨 별세, 라미란씨(배우) 모친상=1일 쉴낙원인천장례식장. 발인 4일 (032)548-1009
■박복순씨 별세, 김희선씨(배우) 모친상=2일 서울아산병원. 발인 4일 (02)3010-2000
■유혜경씨 별세, 김일겸 프로농구 서울 삼성 프로 모친상=2일 유성선병원. 발인 4일 (042)825-9494
■조용남씨 별세, 제현 미국 A&M대 교수·제영 삼성증권 이사 부친상, 이시영씨·박강숙 구암중 교사 시부상=2일 삼성서울병원. 발인 4일 (02)3410-3151
■황미진씨 별세. 정진호 법무법인 동인 변호사(전 법무부 차관) 부인상=1일 삼성서울병원. 발인 4일 (02)3410-6906
■최순복씨 별세, 창환 대구시 기업지원과장·현정·원희씨 부친상, 김정연씨 시부상, 고재곤씨 장인상=2일 대구 수성요양병원. 발인 4일 (053)766-4444
KT 무단 소액결제 사태가 불거진 지 한 달이 지났습니다. 지난 8월 중순 경기 광명·서울 금천 등에서 피해 신고가 잇따르자 경찰은 지난달 1일 KT에 사실을 통보했고, KT는 나흘 뒤인 5일 비정상 소액결제를 차단했습니다. 이같은 조치가 이뤄진 지 오늘(4일)로 한 달인데요, 범행 수법과 피해 규모 등 전모는 여전히 안갯속입니다.
KT 무단 소액결제 미스터리가 풀리지 않는 이유는 무엇일까요. 주요 쟁점을 짚어봤습니다.
■왜 KT 가입자만 당했을까, 아직도 모른다
경찰 발표와 KT 측의 브리핑을 종합하면, 무단 소액결제 사태와 관련해 이제까지 확인된 사실은 다음과 같습니다. ‘행동책’으로 추정되는 중국 남성 두 사람은 ‘불법 초소형 기지국’(펨토셀)을 차에 싣고 경기 광명·부천·과천, 서울 금천·영등포, 인천 부평 등을 돌아다니며 인근 지역 시민들의 통화를 가로챘습니다. 이를 통해 ‘ARS(자동응답전화) 인증’에 성공한 이들은 상품권을 구매하거나 티머니를 충전한 뒤 이를 현금화했습니다. KT 발표 기준으로 지금까지 확인된 피해액은 2억4000만원(362명)입니다.
무단 소액결제 사태 초기 제기된 가장 큰 의문은 ‘왜 KT만 당했을까’였습니다. 답은 아직도 알 수 없습니다. KT 가입자만 표적이 될 수 있었던 구조를 알기 위해선 범행 수법이 규명돼야 하지만, 지금까지 드러난 건 퍼즐 몇 조각에 불과하기 때문입니다.
일단 범행 장비의 정체부터 불명확합니다. 경기남부경찰청 사이버수사대에 따르면, KT 무단 소액결제에 이용된 장비는 27개의 네트워트 부품 조합이었으며 그중 펨토셀 역할을 한 것은 단 한 개의 부품이었다고 합니다. 경찰은 이 장비가 해외에서 반입됐을 가능성에 무게를 두고 있습니다. 애초 일각에서는 과거 KT의 승인 받았던 펨토셀이 수거되지 않고 방치됐다가 범행에 쓰였을 것이란 추정이 나왔는데, 지금까지 확인된 정황으로는 이 가능성은 크지 않아 보입니다. 그렇다면 ‘출처 불명의 펨토셀’에 피해를 본 것은 왜 KT 가입자뿐인지에 대한 의문은 더욱 커집니다.
전문가들은 KT의 ‘펨토셀 인증키’가 별도로 탈취됐을 것이란 ‘가설’이 가능하다고 말합니다. 염흥열 순천향대학교 명예교수는 “해커들이 KT 서버를 공격해 펨토셀 기기 인증키를 탈취했거나 혹은 버려진 KT 펨토셀에서 인증키를 얻어냈을 가능성이 있다”고 말했습니다.
KT는 펨토셀 인증체계를 방만하게 관리하고 있었던 것으로 보입니다. KT에 따르면 KT 펨토셀 기기 인증 유효기간(한번 인증하면 재인증이 필요 없는 기간)은 10년입니다. 반면 LG유플러스는 인증 기간이 2년이고, 30일 이상 작동하지 않으면 접속이 차단된다고 합니다. SK텔레콤은 7일 이상 미사용시 자동 차단이 이루어지는 것으로 알려져 있습니다.
■ARS 인증만? 문자 인증 피해는 없었나
사태 발생 한 달이 되도록 피해자 규모가 불명확하다는 점도 문제입니다. KT의 지난달 19일 브리핑에 따르면 무단 소액결제 피해자는 362명입니다. 그러나 이는 KT가 “일단 ARS 기반으로 분석한 것”(김영섭 KT 사장)으로, 문자(SMS) 및 PASS(본인확인 서비스 앱) 인증을 통한 피해는 아직도 ‘파악 중’입니다. 김 사장은 지난달 24일 국회 과학기술정보방송통신위원회가 연 ‘대규모 해킹사고(통신·금융) 관련 청문회’에서 모든 소액결제 인증을 검증해야 한다는 의원들의 지적을 수용하면서 “우선순위에 따라 문자 인증부터 (추가로) 점검할 것”이라고 말했습니다.
후속 검증이 이뤄지면 피해자 규모는 더 불어날 가능성이 큽니다. 국회 과학기술정보방송통신위원회 소속 황정아 더불어민주당 의원이 경찰청·KT 피해자 집계 자료를 대조·분석한 결과를 보면, 경찰이 파악했지만 KT 집계에 담기지 않은 피해자는 최소 19명입니다.
다만 경찰이 집계한 피해 규모(214명·1억3000만원)는 KT 집계(362명·2억4000만원)보다 적기 때문에 경찰 측도 누락한 피해 사례가 많은 것으로 판단됩니다. 확실한 피해 규모를 알기 위해선 KT의 소액결제 인증 추가 점검 결과와 최종 수사 결과 등을 모두 종합해야 할 것으로 보입니다.
■무단 소액결제 사태는 서버 해킹과 연관이 있을까
아직 ‘별건’인 KT 서버 해킹 사고가 무단 소액결제와 연관이 있는지 역시 ‘미궁’입니다. 불법 펨토셀이 KT 통신망에 접속하려면 인증키가 있어야 하고, ARS 인증을 뚫기 위해선 별도의 개인정보(이름, 생년월일 등)도 필요합니다. 공격자들이 서버 해킹을 통해 인증키와 개인정보 등을 탈취한 뒤 펨토셀을 통한 무단 소액결제에 나선 것 아니냐는 추측이 나오는 이유입니다.
KT는 그간 서버 해킹 사실을 부인해왔습니다. 3개월 전인 7월19일 한국인터넷진흥원(KISA)가 해킹 관련 제보를 받고 사실확인을 요구했을 때 KT는 “침해 사실이 없다”(7월22일)고 회신했습니다. 이어 지난 8월 10일 해킹 전문매체 ‘프랙’에서 KT·LG유플러스를 비롯한 행정안전부·통일부·해양수산부 등이 해킹을 당한 정황이 보도됩니다.
KT는 서버 해킹을 당한 사실을 부인했으면서도 관련 서버를 폐기했습니다. ‘프랙’ 보도에서 해킹 의심 대상으로 지목된 원격상담서비스 서버를 8월1일부터 13일까지 연쇄적으로 파기한 것이죠. 해당 서버는 애초 8월21까지 운영키로 예정돼 있었다고 합니다.
파기된 서버는 경기 군포·구로의 KT 고객센터에서 사용되던 것이었는데, 해당 지역은 무단 소액결제 피해가 잇따랐던 서울 금천구·경기 광명시 등과 지리적으로 인접해 있습니다. 서버 해킹과 무단 소액결제 사태가 연계돼 있지 않느냐는 추정이 끊이지 않는 이유입니다.
KT가 서버 해킹 사실을 인정한 것은 지난달 초 소액결제 사태가 불거진 이후입니다. 지난달 18일에야 “외부 업체의 최종 조사 결과가 나왔다”며 해킹 흔적 4건과 의심 정황 2건을 KISA에 신고한 것입니다. 지난 8월1~13일 폐기한 관련 서버의 백업 로그기록을 외부 업체가 갖고 있다는 사실도 “뒤늦게 파악했다”면서 정부에 알렸습니다.
KT 서버 해킹과 무단 소액결제 사태의 연관성은 향후 정부 조사와 경찰 수사로 밝혀질 것으로 보입니다. 과학기술정보통신부와 KISA는 두 사건이 연계돼 있을 가능성을 열어두고 조사에 나섰고, 경찰 국가수사본부 사이버테러수사대 역시 KT 서버 침해 정황에 대해 내사에 착수한 상태입니다.
KT 무단 소액결제 사태는 국가 기간통신사의 안이한 보안 현실을 여실히 드러냈습니다. 사건 발생 한 달이 넘도록 범행 수법과 피해 규모조차 규명되지 않는 상황 역시 ‘통신 강국’이라는 자부심이 얼마나 취약한 토대 위에 놓여 있는지를 보여줍니다.
앞으로 KT와 정부는 ‘소액결제 사태 미스터리’를 규명하고, 보안체계를 혁신할 해법을 내놓을 수 있을까요. 신뢰를 회복할 시간이 얼마 남지 않았습니다.
