정부 당국이 KT 가입자 무단 소액결제 사건과 관련해 본격 대응에 나섰다. 경찰 수사에 이어 과학기술정보통신부도 자체 진상 규명에 착수했다. KT는 개인정보 해킹 정황은 없다는 입장이다. 업계 전문가들은 이번 사태가 탈취된 정보를 취합한 복제폰 범죄일 가능성이 높다고 보고 있다.
9일 과기정통부는 정보보호네트워크정책관을 단장으로 하는 민관합동조사단을 구성해 현장조사에 착수했다. KT는 전날 저녁 한국인터넷진흥원(KISA)에 침해사고 신고를 접수하고 최고경영자(CEO) 직속 전담반을 꾸려 비상대응에 나섰다. 소액결제 한도 하향 및 전담고객센터 운영 등 피해 최소화 조치도 취했다.
앞서 지난달 27일부터 경기 광명시를 중심으로 무단으로 휴대폰 소액결제가 이뤄진 사건이 발생했다. 광명경찰서에 약 3800만원, 금천경찰서에 780만원 규모 피해가 접수됐다. 부천에서도 모바일 상품권 충전 등 411만원 피해 사례가 추가됐다. 전체 피해액은 5000만원에 육박한다.
현재까지 확인된 피해자들은 모두 광명 소하동·하안동과 서울 금천구에 거주 중이라는 공통점이 있다. 소액결제가 특정 지역에만 몰린 건 이례적이다. 경찰은 이번 범행 수법이 전례를 찾기 어렵다며 다양한 가능성을 열어놓고 수사 중이다.
범죄 방법에 대해서는 유심 복제와 와이파이 라우터 등 네트워크 장비 취약점을 노린 정보탈취 가능성이 거론된다. 그중에서도 통신업계에서는 복제폰 악용 범죄 가능성을 높게 보고 있다.
범죄자가 KT 개통 정보가 모인 도매 대리점 등 다양한 경로를 통해 개인정보와 가입자식별번호(IMSI)·단말식별번호(IMEI)·가입자식별모듈(USIM) 등 단말·유심정보를 탈취했다면 이를 결합해 복제 유심을 만들 수 있다는 것이다.
특정 지역에 피해자가 몰린 것은 비정상인증차단시스템(FDS)을 회피하기 위한 것이라는 분석이다. FDS는 복제 유심을 다른 기기에 장착하면 즉시 차단되는 기술로 해당 유심 장착이 비정상적 행위라는 것을 탐지하기 위한 알고리즘 중에는 접속 기지국 정보도 포함된다.
FDS 민감도가 높지 않다면 같은 기지국 내 접속한 단말에 대해서는 FDS 차단이 작동하지 않을 수 있다. 범죄자가 피해자 거주지 인근에서 불법 복제한 유심을 공기계에 장착한다면 복제폰이 만들어질 수 있다는 이야기다.
피해가 소액결제에 국한된 것도 본인 인증앱 'PASS'와 카카오톡 계정 인증 등 확보한 통신 정보만으로 금전 탈취가 가능하기 때문으로 풀이된다. 금융정보를 확보하지 못했다보니 은행 앱 등 별도 2차 인증이 필요한 경우 타깃으로 삼기 어려웠다는 것이다.
또 인근에 가짜 기지국을 세워 복제 유심 장착을 정상적 동작으로 인지하게 하는 등 정보 탈취를 위한 복합적 행위가 이뤄졌을 것이라는 관측도 나온다. 다른 통신사들도 이같은 정황을 파악하고 FDS 모니터링 민감도를 최대로 높이는 등 보안 강화에 나선 것으로 알려졌다.
KT는 이번 사건과 관련해 “개인정보 해킹 정황은 없는 것으로 확인했다”며 내부망 침해는 없었다는 입장이다.
보안 전문가들도 복제폰 악용 범죄 가능성을 열어두고 있다. 김용대 카이스트 교수는 “이번 사고에서 드러난 여러 정황을 가장 잘 설명할 수 있는 시나리오가 복제폰”이라면서 “IMSI, IMEI, 인증키(Ki) 등 유출 여부를 확인할 필요가 있다”고 덧붙였다.
박준호 기자 junho@etnews.com, 조재학 기자 2jh@etnews.com
