연합뉴스
KT가 불법 '초소형 기지국(펨토셀)'을 이용한 신종 해킹에 속수무책으로 당한 가운데, 일부 이용자의 가입자식별번호(IMSI)가 유출된 것으로 확인했다. "개인정보 유출은 없다"던 KT는 하루 만에 입장을 번복하게 됐다.

여기에 해킹 수법을 고려할 때 추가 개인정보가 침해당했을 가능성까지 제기되고 있다. IMSI 등으로는 해커가 결제를 하는 게 불가능해 추가 주요 개인 정보를 빼낸 게 아니냐는 분석이다. KT는 자체 원인 파악에 나섰지만, 여전히 오리무중이어서 이용자들의 불안이 커지고 있다.

"개인정보 유출 없다"던 KT…5500여 명 개인정보 유출

14일 통신 업계에 따르면, KT는 11일 기자간담회를 열고 무단 소액결제 사태에 따른 대응 현황과 향후 계획을 발표했다. KT의 자체 고객 통신 이력 분석 결과, 불법 펨토셀 2개가 발견됐으며, 해당 기지국의 신호 수신 이력이 확인된 고객은 약 1만9천명에 달했다. 이 중 IMSI 유출 정황이 확인된 고객은 5561명이다.

KT는 이들 IMSI 유출 고객을 대상으로 소액 결제가 이뤄진 것으로 파악했다. 피해자는 278명으로 총 1억7천만원의 금전적 피해가 발생했다. 당초 KT는 간담회 하루 전까지만 해도 유출된 개인정보는 없다는 입장을 고수했으나, 하루 만에 입장을 바꿔 유출 사실을 인정했다. KT 측은 결제 피해액은 전액 환급하고 향후 해지 위약금 면제도 전향적으로 검토하겠다고 밝혔다.

추가 개인정보 획득 가능성 높아…복제폰 가능성도 제기

구재형 KT 네크워크기술본부장이 11일 서울 종로구 KT 광화문빌딩 웨스트 사옥에서 열린 소액결제 피해 관련 기자 브리핑에서 보안조치 강화에 대한 발표를 하고 있다. 류영주 기자
그러나 KT의 설명에도 여전히 의문점이 남는다.

현재까지 유출이 확인된 개인정보는 IMSI가 유일하다. 그러나 이 정보만으로는 해커가 이용자들의 휴대전화로 소액결제에 성공하기가 어렵다. 휴대전화로 소액결제를 하기 위해서는 이름과 전화번호, 생년월일 등 정보를 입력한 뒤 자동응답전화(ARS) 인증까지 거쳐야 하기 때문이다.

배경훈 과학기술정보통신부 장관도 최근 국회 과학기술정보방송통신위원회 전체회의에서 추가 개인정보 유출 가능성을 묻는 질문에 "범인이 가지고 있을 것으로 추정된다"고 밝히기도 했다.

피해자들은 새벽 시간에 자신이 자고 있는 사이 ARS 인증이 완료된 채 상품권, 교통카드 충전이 돼 있었다고 증언하고 있다. 즉 해커는 일부 이용자들의 이름과 생년월일 등 정보를 확보했고, 원격에서 자유자재로 ARS 인증을 완료하는 루트까지 확보했다는 것이다.

KT 측도 이 부분은 오리무중이라는 입장이다. KT 구재형 네워크기술본부장은 간담회에서 "우리도 해석이 되지 않는 부분으로 최소한 이름과 생년월일을 직접 입력해야 ARS 인증이 이뤄질 수 있다"며 "특히 이런 (개인정보) 부분은 초소형 기지국에서 유출될 수 없는 것이라 수사를 통해 확인해야 한다"고 설명했다.

해커가 펨토셀을 통하지 않은 별도의 경로로 개인정보를 입수했을 가능성도 열려있다는 취지다. 업계에서는 해커가 기존에 유출된 개인정보를 다크웹 등에서 확보해 이를 조합한 게 아니냐는 전망도 나온다.

일각에서는 유심 복제폰 가능성도 제기된다. 유심 정보를 빼내 똑같은 유심을 만든 뒤, 이를 다른 휴대전화에 장착해 똑같은 기능을 하도록 만든 게 아니냐는 전망이다. 이 경우 ARS 인증 등을 수월하게 할 수 있다.

현직 화이트해커 김한수씨는 12일 CBS라디오 '김현정의 뉴스쇼'에 출연해 "피해 증상을 보면 새벽에 주로 일어났고 문자와 전화 통화가 안 됐었다. 소액 결제를 할 때 필요했던 문자도 안 왔었고 ARS 인증도 전화가 안 왔었다"며 "그렇다는 건 문자와 전화를 중간에 어디선가 가로채고 있었다는 건데 그러면 복제폰, 그러니까 복제 유심 공격일 가능성이 높다"고 주장했다. 다만 이 경우 KT에서 유출된 정보가 더 있어야 성립한다고 덧붙였다.

KT는 복제폰 가능성에 대해서는 선을 긋고 있다. 구 본부장은 "IMSI만 기지국을 통과했기에 불법 복제가 필요한 인증 키값, IMEI 등은 이번에 절대 노출되지 않았다"고 설명했다.

내부·협력자 가능성도…대리점·협력사 직원 연루 가능성

김영섭 KT 대표를 비롯한 임직원들이 11일 서울 종로구 KT 광화문빌딩 웨스트 사옥에서 최근 발생한 소액결제 피해와 관련해 고개 숙여 사과하고 있다. 왼쪽부터 서창석 KT 네트워크 부문장 부사장, 김영섭 KT 대표, 이현석 커스터머 부문장 부사장. 류영주 기자
펨토셀 외 경로로 추가 개인정보가 유출됐다면, KT 해킹 과정에 내부자나 협력자가 있는 게 아니냐는 추론도 가능하다. 주요 고객 정보가 들어 있는 KT 코어망의 경우 인증된 장비만 접속할 수 있을뿐더러, 기술적으로 해킹이 매우 어려워 가능성은 낮을 것이라는 게 통신 업계 중론이다. 이번 소액 결제 피해 규모와 비교했을 때 소위 '가성비'가 맞지 않는다는 것이다.

일각에서는 피해자가 속출한 지역 내 일부 대리점이 범죄에 연루된 게 아니냐는 분석이 나온다. 실제로 이번에 피해가 발생한 지역은 서울 금천구·구로구, 경기 광명시·군포시 등 지리적으로 인접한다. 즉 해당 지역의 대리점에서 개통한 이용자들의 정보가 범죄에 활용된 게 아니냐는 관측이다.

이와 관련해 한 통신 업계 관계자는 통화에서 "일부 대리점의 경우 휴대전화 구입 시 개통과 함께 각종 앱 설치나 편의 설정 등을 대신 해주는 경우가 종종 있다"며 "보안상 취약한 과정인 만큼, 이 과정에서 주요 정보가 새 나갈 가능성도 있다"고 설명했다.

KT의 협력사 직원이 연루됐을 수 있다는 전망도 나온다. 임종인 고려대 정보보호대학원 석좌교수는 11일 MBC라디오 '김종배의 시선집중'에서 "협력사 직원은 (아파트) 단자함이나 옥상에 자물쇠를 따서 들어가고, 경비원도 아는 사람이니 통과시켜 준다"고 설명했다.

이어 "펨토셀을 비활성화시키고 자신이 가지고 온 걸 꽂으면 KT 중앙서버 네트워크에선 새로운 접속을 불허하겠지만, 협력사 직원은 중앙 네트워크에 연결시키는 비밀번호나 인증번호를 알고 있기 때문에 슬쩍 연결하면 그때부터 불법행위를 다 할 수 있다"고 주장했다.

내부자 가담설과 관련해 KT 측은 "아직 확인되지 않았다"면서도 "통신과 관련해 상당한 지식이 있다는 정도는 유추할 수 있다"고 설명했다.