'KT 해킹' 무단 소액결제 사건을 수사하는 경찰이 동일 범죄가 지난해부터 시도된 정황을 포착했다. 또 범행에 사용된 불법 소형 기지국 장비의 인증서는 2019년 7월쯤 경기 북부 소재 군부대에 설치됐다가 유실된 것으로 드러났다.
경기남부경찰청 사이버수사과는 29일 오후 서울 정부종합청사에서 KT 무단 소액결제 사건 수사 결과를 발표하고 "범인들이 지난해 5월 불법 기지국(펨토셀)을 운영한 정황이 나왔다"고 밝혔다.
앞서 한국에 거주하던 중국 국적 장모(48)씨는 지난 8월부터 9월 사이 차량에 불법 기지국 장비를 싣고 경기 광명과 서울 금천 등 아파트 주변을 돌아다니며 해당 지역 KT 이용자들의 휴대전화를 해킹한 혐의로 구속기소 돼 수원지법 안산지원에서 재판받고 있다.
당시 범행에 사용된 장비는 50대 한국인 남성 A씨와 30대 중국 국적 남성을 거쳐 장씨에게 전달된 것으로 전해졌다. 경찰은 A씨는 지난해 4월부터 상선에게 불법 기지국 운영을 지시받아 경기 남부 지역에서 장비를 전달받은 것으로 파악했다.
A씨는 전달받은 장비를 20대 한국인 남성에게 건네, 지난해 5월 2일부터 9일까지 8일 동안 장씨의 수법과 동일한 방식으로 범행을 시도했지만, 장비가 작동하지 않았던 것으로 파악됐다.
A씨는 1년 뒤인 지난 4월 상선의 지시를 받고 LTE 라우터를 대여해 30대 중국 국적 남성에게 전달했고, 장 씨가 지난 7월 19일 모든 장비를 건네받아 범행에 나선 것으로 조사됐다.
경찰이 확보한 장비는 펨토셀 2점과 라우터 5점, 지향성 안테나, 부속품을 포함해 모두 31점이다. 이 가운데 장씨의 범행에 이용된 장치는 옥외형 펨토셀 1점, 라우터 2점 등이다.
장비 분석 결과 파악된 전자정보 가운데 KT 인증서의 경우 2019년 7월 경기 북부 모 군부대에 설치됐던 KT 펨토셀의 인증서로 확인됐다. 해당 펨토셀은 2020년 1월 막사 이전 과정에서 유실된 것으로 전해졌다.
경찰은 범인들이 유실된 KT 펨토셀을 입수해 저장돼 있던 인증서를 사용한 것으로 보고 있다. 통신 결제 데이터가 남은 지난해 8월부터 올해 9월 10일까지 전수조사를 통해 불법 펨토셀 ID는 총 20개를 발견했다.
경찰은 이 중 7개의 셀 ID가 불법 펨토셀 장비에 연동된 것으로 보고, 범인들의 휴대전화 번호는 모두 20개의 셀 ID에 교차 연결된 기록이 있었다고 밝혔다.
경찰은 이들이 텔레그램을 통해 지시를 받은 중국 소재의 40대 상선은 인터폴 적색수배를 통해 파악 중이다.
경찰 관계자는 "검거하지 못한 피의자 2명 중 중국 상선은 인적 사항을 특정해 인터폴 적색수배를 했고, 범행 대가를 전달한 송금책은 중국으로 출국한 것이 확인돼 수배 및 입국 시 통보 조치했다"며 "해외에 거점을 두고 은신 중인 공범에 대해서도 끝까지 추적해 나가겠다"고 말했다.
KT 해킹으로 인한 무단 소액결제 사건의 피해지역은 경기 광명, 과천, 부천, 고양, 서울 금천, 동작, 서초, 영등포, 인천 등 9개 지역이다. 경찰 수사 결과 피해자는 227명, 피해액은 1억 4500여만 원에 달한다.
과학기술정보통신부는 피해자 368명, 피해액은 2억 4300여만 원으로 집계해 향후 사건 이관에 따라 경찰 파악 규모도 늘어날 것으로 보인다.