10일 서울 한 KT 대리점 모습. 연합뉴스

경찰이 소액결제 사기 피해를 본 KT 이용자들의 휴대전화에 불법통신장비가 연결된 정황을 확보하고 수사 중이다. KT가 사건을 알고도 의도적으로 신고를 지연했다는 의혹도 일고 있다.

10일 경찰과 한국인터넷진흥원(KISA) 등에 따르면 KT는 지난 8일 불법 초소형 기지국 통신망에 고객들이 접속한 것이 이번 사고의 원인일 수 있다고 당국에 신고했다. KT 기지국이 아닌 허위 기지국으로 만든 통신망에 이용자를 접속하게 해 개인정보를 빼내는 식의 범행이 추정된다는 취지다.

과학기술정보통신부 또한 이날 “해당 (허위)기지국을 활용해 무단 소액결제가 이뤄졌는지 조사 중”이라고 밝혔다. KT가 자체 파악한 결과 이날 현재까지 무단 소액결제 피해 건수는 278건, 피해액은 총 1억7000만원으로 나타났다.

류제명 과학기술정보통신부 제2차관이 10일 서울 종로구 정부서울청사에서 KT 고객 무단 소액결제 침해사고 관련 브리핑을 하고 있다. 뉴스1

허위 기지국을 이용해 해킹하는 수법은 국내선 첫 사례다. 다만 해외서 이미 유사 사례가 있었고, 학계서도 꾸준히 제기됐던 위험임에도 보안 대비가 전무했단 비판이 나온다. 지난 4월 태국에선 무선 소형 기지국 장비를 백팩에 숨기고 쇼핑몰 고객에 대량 문자를 전송해 스미싱 범죄를 저지른 홍콩인 조직원이 검거됐다. KT 사례처럼 문자를 통하지 않은 한층 고도화된 수법도 있었다. 지난 5월 터키에선 중국계 스파이 조직이 가짜 기지국을 활용해 정치 인사들의 통화내용 등을 탈취했다. 아울러 가상 기지국만 다른 곳으로 옮기면 추가 피해도 발생 가능한 방식이기도 하다.

하지만 최초 피해 발생과 신고가 지난달 27일 접수됐고, 관련 보도가 나온 지난 4일까지도 KT는 이상 징후가 없었다는 입장이다. 지난 1~2일 경찰이 사건을 접수한 수사 초기 단계에선 단순 스미싱(허위 문자 메시지를 통한 개인정보 탈취)이라 판단했고, 언론 보도 후인 5일부터 긴급회의를 열어 8일 오후에야 이상 징후를 발견했다는 것이다. 이 회의 직후 KISA에 신고하고 9일 오전 새로운 기지국 통신망 접속을 전면 제한했지만, 74명의 피해자와 4580만원의 피해금이 발생한 뒤였다.

최초 신고가 접수된 뒤 경찰이 지난 1~2일 KT 본사와 지점, 중개소 등에 연락을 취했지만, KT 측은 “해킹당할 수가 없다” 등의 취지로 답했다고 한다. 또한 10일 국회 과학기술정보방송통신위원회 소속 황정아 더불어민주당 의원실이 공개한 침해사실 신고서(KT가 KISA에 제출)에 따르면 KT는 ‘피해 사실 인지 전 이상 징후가 없었다’고 명시했다. 이 때문에 일각에서는 KT가 사건을 알고도 신고를 늦게 했다는 의혹을 제기한다. 정보통신망법은 정보통신서비스 제공자가 해킹 등 침해 사고를 인지한 시점부터 24시간 이내에 KISA나 과기부 신고할 의무를 부여하고 있다.

이에 대해 KT는 “의도적 지연 신고가 아니다”며 “불법 초소형 기지국 아이디를 발견한 건 맞지만, 해킹이라 단정지을 수 없다”는 입장을 고수했다. “기지국을 이용해 개인정보 탈취까지 나아갔다곤 확신하긴 어려운 단계”라며 “고객의 ARS 인증을 중간에서 가로챈 신종 스미싱”이라는 설명이다. “내부 서버가 뚫린 정황은 없었기에 해킹이 아니다”는 것이다.

통신보안 관련 수사 경험이 많은 한 팀장급 경찰은 “유령 기지국으로 접속하도록 피해자들을 유도할 수 있었단 건 (KT의) 통신망 보안이 정말 형편없다는 것”이라며 “피해자의 실행행위 없이 정보가 유출된 거니 스미싱이 아니라 해킹이라 봐야 한다”고 말했다.

김환국 국민대 정보보안암호수학과 교수는 “기지국을 가로채는 방식으로는 전화번호나 메시지 분석 정도 알아내는 게 다일 것”이라며 “그것만으로 소액 결제 가능한 인증까지 뚫리진 않는다”고 설명했다. 식별 번호가 있는 합법 기지국과 달리 불법 기지국은 공식 식별 번호가 없어 결제사 서버로까지 정보가 전달되지 못한다는 것이다. 김 교수는 “분명히 다른 경로로 추가적인 개인정보 유출이 발생했을 것”이라며 “복합적인 기법이 결합된 게 아니면 나올 수 없는 피해”라고 말했다.

경기남부청 관계자 또한 “허위 기지국만이 이번 피해의 단일 원인이라 보긴 어려워 보인다”이라며 “문자를 통한 일반 스미싱 범죄와는 확연히 달라 최대한 가능성을 열어두고 수사하고 있다”고 했다.