KT 휴대전화 무단 소액결제 사건의 유력한 범행 통로로 지목되고 있는 ‘초소형 기지국(펨토셀)’에 대해 경찰과 정부 당국이 본격적인 조사에 착수했다. KT 자체 조사 결과 불법 펨토셀을 통해 이용자의 개인정보가 유출된 정황이 확인되면서다.

11일 경찰에 따르면 경기남부경찰청 사이버수사대는 이번 소액결제 피해가 경기도 광명과 서울 금천구 등 일부 지역에 위치한 적이 있는 휴대전화 해킹 때문에 발생했을 가능성을 집중적으로 들여다보고 있다. 해당 지역 일대에 불법 펨토셀이 설치됐고, 이 펨토셀을 통해 해커가 KT 망 이용자의 신호를 잡아 개인정보를 탈취했을 가능성이 있다는 이야기다. 펨토셀은 반경 약 10m에 통신 서비스를 공급하는 초소형 기지국으로, 과도한 통신량을 분산해야 하는 곳이나 통신 음영 지역에 주로 설치한다.

최근 KT 무단 소액결제 피해 사건 원인이 불법 초소형 기지국일 가능성이 제기된 가운데 지난 10일 서울 마포구 디지털미디어시티역에 설치된 소형 KT 이동통신 기기의 모습. 김종호 기자

경찰은 사건 초기부터 일정 지역에 피해자가 모여 있다는 점을 근거로 불법 펨토셀을 통한 범행 가능성을 들여다보고 있었다. 경찰은 해킹이 소액결제로까지 이어질 수 있었던 경위를 파악한다는 방침이다.

김영섭(가운데) KT 사장이 11일 서울 종로구 KT 광화문빌딩 웨스트 사옥에서 소액결제 피해와 관련해 고개 숙여 사과하고 있다. 연합뉴스

이날 KT는 기자회견을 열고 불법 펨토셀을 통해 이용자 개인정보가 유출됐을 가능성이 있다고 밝혔다. KT는 자체 조사 결과 불법 펨토셀의 신호를 수신한 이력이 있는 이용자 중 5561명의 가입자식별정보(IMSI)가 유출된 정황이 있다고 발표했다. IMSI는 휴대전화 유심(USIM·가입자 식별 모듈) 카드에 저장되는 개인정보를 말한다. KT 관계자는 “초소형 기지국의 일부를 불법 취득해 개조했거나, 특정 시스템을 만들어 초소형 기지국 일부를 떼서 옮긴 걸로 추정한다”고 했다.

이번 사건이 이렇게 불법 펨토셀 때문이라는 정황이 명확해진다면, 피의자를 가상 공간에서 쫓아야 하는 그동안의 정보기술(IT) 관련 범죄와는 달리 물리적 공간에서 IT 범죄 피의자를 잡아야 하는 기존과는 다른 양상의 범죄가 발생한 것으로 볼 수 있다. 특히 펨토셀은 이동이 가능하기 때문에 언제 어디서 추가 피해가 발생할지 예상이 어려워질 수도 있다.

실제 이번 사건도 지난달 21일 경기도 과천시 별양동에서 8명이 총 410만원의 피해를 신고한 것이 시작이었다. 이어 지난달 26일 서울 금천구에서 총 45건의 소액결제로 2850만원의 피해가 새벽 시간대에 무더기로 발생했다. 또 지난달 27~28일엔 새벽에 광명시 소하동과 하안동에서 73건(총 4730만원), 이달 1~2일에는 부천시 소사구에서 6건(총 480만원)의 피해 신고가 있었다. 서로 가까운 지역에서 순차적으로 범행이 이어지는 모습이다.

피해 지역이 계속해서 움직임에 따라 이번 범행이 ‘워 드라이빙(war driving)’ 수법을 활용했을 수 있다는 가능성이 제기되고 있다. 워 드라이빙은 펨토셀이나 노트북 컴퓨터 등의 장비를 차량에 실어 이동하며 취약한 정보통신망에 무단으로 접속하는 수법을 말한다. 지난 4월 일본에선 차량에 가짜 기지국을 설치해 도심에서 피싱 문자메시지를 살포한 사건이 발생하기도 했다.

지난 10일 서울 마포구 홍대입구역 인근 KT 대리점 앞을 지나는 시민. 김종호 기자

박춘식 아주대 사이버보안학과 교수는 “펨토셀은 사람이 메고 다니거나 자동차 트렁크에 넣고 다닐 수 있을 정도로 소형”이라며 “그래서 펨토셀은 이동 기지국이라고도 한다”고 설명했다. 특히 박 교수는 “정부나 공공기관 청사는 대부분 워 드라이빙에 대한 대비가 돼 있을 정도로 고전적인 수법이지만, 민간에서 처음 발생한 것”이라며 “이번 사건처럼 소액결제를 해서 해커가 스스로 공격 사실을 드러내는 건 일반적인 해커의 행태와는 다른 특이한 양상”이라고 분석했다.

특히 근본적 기술 보완책이 필요하단 지적도 제기되고 있다. 박기웅 세종대 정보보호학과 교수는 “기지국이 전보다 훨씬 많아지는 상황에서 이를 물리적으로 모두 관리하기는 어렵다”며 “누군가가 기지국을 조작하려는 시도를 할 경우 중앙에서 감지하는 기술을 마련할 필요가 있다”고 조언했다.

네트워크 보안 전문 업체 TCV의 김민재 연구원은 “불법 펨토셀을 통해 피해자 휴대전화의 IMSI를 탈취할 수 있다는 점은 LTE(4세대 이동통신)의 취약점이었다”고 지적했다. 김 연구원은 “이를 통해 복제 휴대전화를 만들고 자동응답전화(ARS)로 인증해 소액결제를 하는 시나리오가 가능하다고 본다”며 “민관 합동 조사단의 조사 결과를 지켜봐야 할 것”이라고 말했다.

이재명 대통령은 이날 용산 대통령실에서 수석보좌관 회의를 열고 KT 소액결제 사건에 대해 “전모를 속히 확인하고 추가 피해를 방지하는 데 적극 나서야 한다”고 주문했다. 이 대통령은 특히 “일부에서는 사건 은폐·축소 의혹도 제기되는 데 이 또한 분명히 밝혀 책임을 명확히 물어야 한다”고 강조했다.