KT 무단 소액 결제 사건이 국가 기간 통신망을 대상으로 한 초유의 도청 사건으로 비화할 조짐을 보이고 있다. 지난 9월 사건 조사를 위해 구성한 민관합동조사단은 석달 넘게 도청 가능성까지 함께 들여다보고 있다. 사진은 9일 오전 서울 종로구에 있는 KT 대리점 모습./뉴시스


KT 무단 소액 결제 사건에 대한 민관합동조사단의 조사가 3개월째 이어지고 있다. SK텔레콤 해킹 조사보다 한 달가량 더 걸리는 것이다. 조사가 예상보다 길어지자 보안 업계에선 이번 사건의 실체가 무단 소액 결제 사건이 아니라 해커가 모바일바다이야기하는법 통신사의 통신 내용 암호화를 무력화해 실시간으로 개인 스마트폰을 엿보는 국가 기간망이 뚫린 초유의 도청 사건으로 비화할 수 있다고 전망한다. 실제 국정원은 지난 9월 “국가 사이버 안보를 위협할 수 있다”며 KT에 경고했고, 민관 합동 조사단도 도청 가능 여부를 실험을 통해 살펴보고 있다. 조사단 관계자는 지난 8일 본지에 “도청 문제를 포함해 조사가 완 바다이야기#릴게임 료되는 대로 최종 결과를 공개하겠다”고 말했다.
보안 전문가들은 불법 펨토셀(초소형 기지국)을 활용한 도청이 기술적으로 가능하다는 분석을 잇달아 내놓고 있다. 보안 업계 관계자는 “이번 소액 결제 사건은 통신 인프라 자체가 해킹 대상이 될 수 있다는 것을 보여준 사례”라며 “통신사 핵심 망과 직접 연결되는 펨토셀이 해킹될 경우 소액 결제 바다신2 다운로드 피해를 넘어 개인 단말기에 대한 도·감청이 가능하기 때문에 시간이 얼마나 걸리든 철저히 조사해서 원인과 배후를 밝혀내야 한다”고 말했다.



그래픽=양인성


◇무단 소액 결제, ‘조직적 도청’ 가능성
지 오션릴게임 난 8월 발생한 무단 소액 결제 사건 당시 보안 업계에서는 이미 정상적인 해킹 방식이 아니라며 몇 가지 의문을 제기했다. 지금까지 집계된 피해액은 2억4000여 만원인데 해킹에 들인 노력에 비해 해커들이 얻는 이익이 지나치게 적기 때문이다. 한 보안 업계 관계자는 “해킹으로 수백억 원을 탈취하는 것은 흔한 일인데 2억원 벌려고 불법 펨토셀을 차량에 싣고 돌 릴게임몰 아다니는 위험을 감수했다는 것은 말이 되지 않는다”고 했다. 이번 사건의 주목적이 무단 소액 결제를 통한 금전 탈취가 아니었다는 것이다.
보안 업계는 KT가 공개한 불법 펨토셀 중 ‘6번 펨토셀’에 주목한다. KT는 지난 10월 불법 펨토셀 아이디(ID) 20개를 공개했는데 그중 6번 펨토셀은 2024년 10월 22일부터 지난 8월 23일까지 305일간 서울·경기·인천·강원 지역을 돌아다니며 KT망에 접속했다. 그러나 해당 펨토셀은 무단 소액 결제와는 무관했다. 금전적 이익이 아닌 다른 목적을 위해 장기간 KT망에 접속했다는 것이다. 20개 ID 가운데 소액 결제에 활용된 불법 펨토셀은 5개뿐이었다.



그래픽=양인성


◇펨토셀 활용 도청, 실험으로도 입증
펨토셀을 활용한 도청은 이미 실험으로도 입증됐다. 김용대 카이스트 전기전자공학부 교수는 2014년 한국인터넷진흥원(KISA)과 통신 3사 의뢰로 펨토셀 보안 취약점을 연구했고 펨토셀을 통한 도청이 가능하다는 것을 밝혀냈다. 김 교수는 본지와 통화에서 “무단 소액 결제가 있었다는 얘기는 기술적으로 도청이 가능했다는 것과 같은 말”이라고 말했다. 그는 “KT가 펨토셀을 통해 이름·전화번호·생년월일이 유출됐다고 밝혔는데 소액결제를 위해서는 문자나 ARS 인증이 더 필요하다”면서 “결국 이들 정보를 해킹 조직이 실시간으로 취득했다는 것인데, 이는 도청을 했다는 얘기”라고 말했다.
애초에 KT 펨토셀이 암호화를 지원하지 않았을 가능성도 제기된다. 최운호 서강대 교수(메타이노베이션센터장)는 “KT가 오래된 장비를 최신 장비로 교체하지 않고 그대로 쓰는 경우가 많다”면서 “종단간 암호화(보내는 사람부터 받는 사람까지 데이터를 암호로 잠그는 것)가 되는 신형 장비는 고가이기 때문에 구형 장비를 상당수 그대로 쓰다보니 도청에 용이한 조건이 만들어졌다”라고 말했다.
경찰 발표에 따르면 범인들은 중국산 펨토셀과 에그(모바일 핫스팟)를 사용했다. 김 교수는 “여기에 라우터(네트워크 장비) 하나만 붙이면 펨토셀에서 나오는 모든 트래픽을 해외 서버로 보낼 수 있다”고 말했다. 수만 명의 통신 데이터를 중간에서 수집할 수 있었다는 뜻이다. 한 보안 업계 관계자는 “경찰에 검거된 피의자들이 무단 소액 결제라는 ‘일탈’ 행위를 한 덕분에 다행히도 민관 합동 조사단에서 도청 문제를 조사할 기회가 생겼다”고 말했다. 무단 소액 결제가 없었다면 지금도 KT는 불법 펨토셀 존재 자체를 몰랐을 수 있다는 뜻이다.



KT 무단 소액 결제 사건이 국가 기간 통신망을 대상으로 한 초유의 도청 사건으로 비화할 조짐을 보이고 있다. 지난 9월 사건 조사를 위해 구성한 민관합동조사단은 석달 넘게 도청 가능성까지 함께 들여다보고 있다. 사진은 9일 오전 서울 종로구에 있는 KT 대리점 모습. /고운호 기자


◇불법 펨토셀 접속자 규모 확인 불가
KT는 불법 펨토셀에 연결된 적이 있는 가입자가 2만2227명이라고 밝혔다. 하지만 통신 기록을 보관하는 2024년 8월 1일부터 올해 9월 10일까지 시점만 따진 것이어서 이전에 얼마나 많은 가입자가 불법 펨토셀에 접속했는지는 알 수 없다.
이번 사건이 소액 결제 피해로 끝나는 게 아니라 심각한 2차 범죄로 이어질 수 있다는 지적이 나온다. 실시간으로 주고받는 문자 메시지나 ARS 인증을 이용해 은행 직원을 사칭한 맞춤형 보이스피싱 범죄로 이어질 수 있다. 또 국가 중요 인사 동선 파악도 가능해 국가 안보 문제와도 직결될 수 있는 문제다.
김승주 고려대 정보보호대학원 교수는 “펨토셀을 해킹하면 도청할 수 있는 것은 사실”이라며 “펨토셀 접속 흔적과 정부 핵심 인사 동선이 겹쳤다면 특정 국가 배후의 해커 조직이 도청했다고 강하게 의심할 수 있다”고 말했다.
☞KT 무단 소액 결제 사건
KT의 초소형 기지국 서버가 해킹 당해 368명 고객이 무단으로 소액 결제 피해를 본 보안 사고다. 택배(통화·메시지)를 보낸다고 가정하면, 택배를 수거하는 편의점에서 물류센터(KT)를 거치게 되는데, 해커가 우리 집 바로 앞에 가짜 편의점(불법 펨토셀)을 차려 놓고 택배를 받아 내용물을 확인한 뒤 불법 소액 결제에 활용하고 아무 일 없었다는 듯이 물류센터로 보낸 것이다. 물류센터는 내용물을 알 수 없게 밀봉한 박스(암호화)에 담아 배달해야 하는데 처음부터 밀봉하지 않았거나 해커들이 쉽게 박스를 뜯어 볼 수 있을 만큼 허술하게 밀봉했을 가능성이 있다.