김혜미 디자이너

KT 가입자들이 본인도 모르게 티머니 충전, 상품권 구매 등 무단으로 스마트폰 소액 결제가 되는 피해를 입었다.첫 피해(지난달 27일) 발생 후, 경찰이 KT에 통보(1일)했지만, 당시 KT는 스미싱 등 악성 메시지 공격으로만 인식했다. 지난 10일엔 과기정통부와 합동 브리핑에서 개인정보 유출은 전혀 없다고 밝혔다. 하지만 다음날 기자간담회에서 불법 기지국이 KT 통신망에 접속해 IMSI(가입자식별번호)가 유출됐다고 인정하며 하루만에 입장을 번복했다. 다만 KT 측은 “스마트폰 소액 결제시 이름과 주민번호를 먼저 입력해야 ARS(자동응답전화) 인증문자를 받기 때문에 IMSI 유출만으로 소액 결제가 이뤄지지 않는다. 경찰 수사가 필요한 부분”이라고 말했다.

김승주 고려대 정보보호대학원 교수는 “추가 개인정보를 어디서 얻었느냐가 중요하다. KT 내부거나, 아니면 외부의 정부 사이트 같은 곳이라면 대혼란이 생길 수 있다”고 말했다.

조사·수사 기관은 이번 KT 사태 관련 피해가 집중된 지역에서 가짜 기지국을 실은 차량을 타고 이동하며 단말 신호를 빼낸 뒤 결제 서비스에 접근한 것은 아닌지 의심하고 있다. 해커들은 노트북, 백팩 모양의 IMSI 캐쳐나 초소형 공유기 모양인 펨토셀 등 불법 가짜 기지국을 통해 휴대폰과 무선 신호를 주고 받으며 데이터(특히 IMSI)를 가로 채는 경우가 많다. 통신 3사 중 가장 많은 펨토셀(15만7000대)을 운영한 KT는 아직 이 펨토셀을 활용한 불법 기지국이 KT 네트워크에 침투한 방식, 소액결제가 어떻게 가능했는지 등을 명확하게 답하지 못하고 있다.

일각에선 유출 정보로 복제폰을 만들고 자동응답전화(ARS)로 인증해 무단 소액결제로 이어질 수 있단 지적도 있다. 하지만 IMEI(단말기고유식별번호) 등이 유출되지 않았다면 복제폰을 활용한 ‘심 스와핑(SIM swapping)’ 같은 금융사기 범죄가 발생할 가능성이 낮다는 게 전문가들의 분석이다.

당장 피해를 막으려면 어떻게 해야할까. 황석진 동국대 정보보호학과 교수는 “소액결제를 아예 원천 차단하는 것도 좋다”고 말했다. 통신사에서 제공하는 유심보호 서비스도 가입할 수 있다. 다만 소액결제 피해사고 관련 취소나 환불, 피해보상 등을 가장한 악성 불법스팸 문자는 주의해야 한다. 해킹 방지 목적으로 보안 앱을 깔다, 피싱을 당할 수도 있어서다.

이번에 유출된 IMSI, 괜찮은걸까. 일부 이용자들은 카카오톡 로그아웃도 경험했다는데, 다른 위협은 없는 걸까. 해커가 작정하고 돌아다니면 가짜 기지국을 피하기 힘들다는데, 피해를 줄이려면 어떻게 해야 할까. 다른 통신사도 펨토셀 있는데, 왜 KT에서만 이런 일이 벌어진걸까.