연합뉴스| ▶ 글 싣는 순서 |
①'손바닥 기지국'의 공포…KT, 수차례 '경고' 무시했다
②정부 보안도 부실한데…기업만 '이중잣대' 처벌
③'보안' 외양간만 고친다…"자진신고 활성화해야" |
KT 무단 소액결제 범죄에 불법 '초소형 기지국(펨토셀)'이 활용된 가운데, 국내외에서는 이미 펨토셀의 취약한 보안에 대한 경고가 있었던 것으로 파악됐다.
해외에서는 최근 몇 년간 펨토셀을 통한 스미싱 범죄가 수차례 발생했고, 전문가들도 펨토셀을 통한 해킹에 대비해야 한다는 취지의 목소리가 있었던 것. 그럼에도 KT는 대책을 마련하지 않은 채 안일하게 대처하며 빗장이 뚫린 것으로 나타났다.
피의자, 불법 장비 차에 싣고 '워드라이빙'…해외서 수차례 발생
29일 KT와 경찰 등에 따르면, 이번 무단 소액결제 범죄 피의자는 27개 네트워크 부품으로 구성된 불법 통신 장비를 활용한 것으로 나타났다. 업계에서는 이중 불법 펨토셀 역할을 하는 부품이 KT 통신망에 접근했을 가능성이 높다고 보고 있다. 초소형 기지국을 일컫는 펨토셀은 상업시설이나 공공장소 내 통신·전파 음영 지역을 없애거나, 통신량을 분산해 이용자가 서비스를 원활하게 이용할 수 있도록 한다. 통상 손바닥 크기에 불과하며 장비당 대역 반경은 20~30m다.
경찰은 피의자들이 KT 펨토셀을 직접 확보해 개조한 것이 아니라, 펨토셀 역할을 수행하는 출처 불명의 장비를 활용했을 가능성이 높다고 보고 있다. 당초 KT가 직접 관리하던 펨토셀을 탈취해 내부망에 침투했을 가능성이 높다는 관측이 많았지만, 외부의 불법 장비일 가능성이 높다는 것이다. 외부 장비가 버젓이 KT 통신망에 침투했다면, 그만큼 KT 보안이 허술하다는 의미가 된다. 다만 이들이 어떻게 KT 내 인증 정보를 탈취해 불법 장비를 정상 펨토셀로 인식하게 했는지는 밝혀지지 않았다.
이들은 새벽 시간대에 불법 장비를 차량에 싣고 경기 광명과 서울 금천 등 수도권 일대를 돌며 불법 소액결제를 한 것으로 조사됐다. 국내에서 이같이 불특정 다수를 대상으로 이동하며 범죄를 저지르는 '워드라이빙' 사례가 발생한 것은 이번이 처음이다.
'Risky Bulletin SMS blasting incidents are rising'. RiskyBusiness 출처
그러나 해외에서는 이미 불법 펨토셀을 통한 워드라이빙 사례가 곳곳에서 발생한 것으로 나타났다. 외신 등을 종합하면, 지난해부터 올해까지 중국 국적 피의자들이 해외 각지에서 펨토셀 기기와 'SMS 블래스터' 등을 통해 은행·공공기관을 사칭한 피싱 문자를 살포한 것으로 조사됐다. SMS 블래스터는 대규모로 문자를 발송하는 기기다. 이들은 차량 안에 가입자 인증 정보를 수집하는 'IMSI(가입자식별번호) 캐처'와 불법 펨토셀을 설치한 뒤 도심을 이동하며 범죄를 저지른 것으로 파악됐다.
구체적으로 일본의 전문지 '닛케이 크로스테크'는 지난 4월 차량에 불법 펨토셀을 실어 번화가를 돌아다니며 피싱 목적의 중국어 메시지를 보낸 사건에 대해 보도했다. 이에 무라카미 세이치로 총무상이 "이동통신 서비스 혼신 사항 발생을 파악했다"고 밝혔고, 수사기관이 나서기도 했다.
영국에선 지난해 6월 맨체스터와 런던에서 중국인 조직원 2명이 차량에 장비를 숨긴 채 문자를 뿌리다 연이어 체포됐고, 2025년 6월엔 런던에서 유학생 루이첸 숑이 수만 건의 국세청 사칭 문자를 보내다 징역형을 선고받았다.
동남아에선 지난 6월 인도네시아 자카르타에서 BCA은행을 사칭한 문자로 약 2억 루피아 피해가 발생했고, 3월엔 중국 조직이 개입한 피싱 조직이 차량을 이용해 문자를 살포하다 적발됐다. 같은해 8월 태국 방콕에선 경찰이 직접 피싱 문자를 수신한 뒤 추적해 차량 트렁크의 장비를 찾아냈다. 당시 중국 용의자들은 캄보디아인에게 하루 100달러를 주고 범행을 사주했다.
중동에서도 비슷한 사건이 이어졌다. 7월에는 오만에선 중국인이 수도 무스카트에서 은행을 사칭해 문자를 발송하다 현행범으로 체포됐다. 4월에도 카타르에선 중국계 조직원 12명이 은행·정부기관을 위장한 스미싱을 시도하다 검거됐고, 장비는 말레이시아·영국에서 적발된 것과 동일한 형태였다.
펨토셀 취약성 국내외서 수차례 경고…"심각한 문제 발생할 수 있어"
소액결제 피해 재발 방지책 설명하는 구재형 KT 본부장. 연합뉴스해외 사례와 이번 KT 소액결제 사태는 구체적인 방식에 차이가 있을 것으로 보인다. KT 사태의 경우 강제 소액결제까지 이뤄졌기 때문에, 해킹 피의자가 ARS 인증에 필요한 이용자의 개인정보를 추가로 탈취했을 가능성이 높다. 그러나 워드라이빙 범죄에 핵심 역할을 하는 펨토셀의 보안이 취약하다는 점이 수차례 드러났음에도, KT 측이 대비하지 않은 점은 안일하다는 지적이 나온다.
전문가들도 펨토셀이 상용화되던 2010년 초반부터 수차례 펨토셀 보안의 취약점에 대해 경고하기도 했다. 2013년 보안 전문가들은 미국 최대 통신사 '버라이즌'의 펨토셀을 직접 해킹하면서 보안 취약성을 시사했다. 당시 보안 전문가인 크리스 엥 '베라코드' 전 부사장은 "누군가 해킹을 목적으로 불법 펨토셀을 설치하면 통신망을 가로챌 가능성이 있다"고 지적했다.
같은해 미국 보안 기업 'iSEC 파트너스' 연구원도 해외 매체 인터뷰에서 "펨토셀을 해킹해 사용자의 전화번호를 가로채고, 문자 메시지를 확인하고, 통화 내용을 도청할 수 있다"고 밝혔다.
국내에서도 경고가 제기됐다. 2016년 한국정보처리학회에 발표된 '위협 모델링 기법을 이용한 펨토셀 취약점 분석에 대한 연구' 논문은 "해킹 기술의 발전에 따라 펨토셀의 본래 목적과는 다르게 관리자 권한 획득과 같은 취약점들이 발견되고 이를 통해 개인정보 노출과 같은 심각한 문제가 발생할 수 있다"고 지적하기도 했다.
KT 펨토셀·내부망 '허술'…김영섭 대표 "관리 부실했다"
김영섭 KT 대표. 류영주 기자이같은 수차례 전조와 경고가 있었지만, 펨토셀 범죄를 막기 위한 KT의 보안은 허술했던 것으로 나타났다. 피의자가 KT의 펨토셀을 그대로 범죄에 활용하지는 않았다고 하더라도, 일부를 개조해 불법 장비를 만드는 데 활용했을 가능성이 있다. 그러나 KT는 통신 3사 중 펨토셀을 가장 많이 보급했음에도 관리 체계가 부실했던 것으로 나타났다.
국민의힘 최수진 의원실이 이동통신 3사로부터 받은 자료에 따르면, 통신 3사의 전체 펨토셀 19만 5000대 중 약 33%에 달하는 6만 4000대가 미작동해 신호가 잡히지 않는 것으로 나타났다. 신호가 잡히지 않는 펨토셀은 불법 해킹에 이용될 수 있어, 보안 사각지대에 해당한다. 그런데 소액결제 사태가 발생한 KT의 경우 총 15만 7000여대의 펨토셀 중 5만 7000대가 불량이었다. 신호가 잡히지 않는 펨토셀의 80% 이상이 KT에서 발생한 것이다.
미사용 펨토셀 관리도 부실한 것으로 나타났다. SKT와 LG유플러스는 펨토셀이 장기간 미사용 상태에 있거나 일정 거리 이상 이동할 경우 자동으로 해당 기기를 차단하고 일정 기간 후 장비 고윳값을 삭제하고 있다. 반면 KT는 고객이 직접 연락할 경우 펨토셀을 회수해 온 것으로 나타났다.
KT의 내부망이 허술하다는 지적도 제기된다. 통상 문자 메시지는 휴대전화 단말과 기지국이 연결되는 '에어망'과 기지국과 통신사 중앙 서버를 잇는 '코어망'을 통해 전송된다. 그런데 KT는 에어망까지는 정보가 암호화되지만, 펨토셀 내부에서는 암호가 해제된 뒤 코어망으로 흘러가는 구조로 알려졌다. 해커가 '약한 고리'를 탈취해 고객 개인정보를 탈취할 수도 있는 구조라는 것이다. 반면 SK텔레콤과 LG유플러스는 에어망과 코어망 모두 암호화하는 방식이다.
이와 관련해 한 보안업체에 근무하는 익명의 화이트해커는 CBS노컷뉴스와의 통화에서 "해커가 펨토셀을 통해 암호화가 풀린 상태의 정보를 확보할 수 있다면 충분히 일정 지역 내에서 집단으로 해킹하는 것이 가능할 것으로 보인다"고 내다봤다.
카이스트 김용대 전기및전자공학부 교수도 SNS를 통해 "펨토셀 장비가 뚫리면 이동통신망 핵심 인증·라우팅 과정이 조작돼 고객의 개인정보 없이도 소액결제가 성립될 수 있다"며 "사용자가 (해킹을) 직접 막을 방법은 없다. 통신사 차원의 구조적 대책이 필요하다"고 지적했다.
김승주 고려대 정보보호대학원 교수는 24일 국회 과학기술정보방송통신위원회 KT·롯데카드 해킹 사태 청문회에서 참고인으로 출석해 2015년 KT와 미팅을 진행해 펨토셀 보안 취약점을 알렸다고 설명했다. 김 교수는 "당시 KT에 펨토셀 보안 취약점을 알렸으며, 당시에는 조치를 취하겠다고 밝혔다"고 했다. 이와 관련해 김영섭 대표는 "내용을 정확히 파악하지 못했다"면서도 펨토셀 관리 실태에 대해서는 "관리 실태를 보니 허점이 많고 관리가 부실했다"고 인정했다.