▲ KT 소액결제 피해
KT 무단 소액결제 사건 실체가 조금씩 수면 위로 떠오르는 가운데 KT가 사건의 특수성을 감지한 경찰의 고지 이후에도 수 일간 적극적인 대처 없이 뭉갠 것으로 드러나 충격을 주고 있습니다.
국가 기간 통신망을 관리하는 KT가 기본적인 네트워크가 뚫리고도 적극적인 사건 파악과 피해 구제에 나서지 않는 사이에 속수무책으로 피해는 확산했습니다.
해커가 초소형 기지국을 통해 이용자들의 정상 트래픽을 가로채 패스(PASS), ARS 인증 등을 하며 소액결제 피해를 일으켰다는 추정이 유력한 상황으로, 불법 기지국을 차량 등에 싣고 이동하면서 범행했을 가능성도 있어 피해 범위와 정도는 더 커질 수 있습니다.
KT는 무단 소액결제 사고 발생 시점에 관해 확인이 어렵다며 밝히지 않고 있지만, 오늘(10일) 취재 결과 경찰은 KT 측에 지난 1일 연쇄 소액결제 피해가 일어나고 있다는 사실을 알린 것으로 파악됐습니다.
당시 수사를 맡은 경찰 관계자는 "KT 측에 알린 접촉 대상이 본사, 지점, 중개소 등 한두 곳이 아니었다"며 "당시 KT의 답변은 'KT는 뚫릴 수가 없다. 해킹당할 수가 없다. (그런 부류의 사건은) 발생할 수가 없다'는 것이었다"고 전했습니다.
과학기술정보통신부가 국회 과학기술정보방송통신위원회 소속 황정아 의원(더불어민주당)에 제출한 KT의 사이버 침해 사실 신고서를 보면 KT는 사고 발생 시간은 '확인 불가'로, 피해 사실 인지 전 이상 징후는 '없었음'으로 신고했습니다.
불법 초소형 기지국을 이용한 해킹 사고가 정확히 언제 벌어졌는지 KT 측이 확인하기 어려울 수는 있지만, 1일 경찰 접촉으로 사건의 윤곽이 전달된 상황에서 이상 징후마저 없었다고 신고한 것은 허위 신고에 가깝다는 비판이 나옵니다.
황정아 의원은 "KT의 고의적인 은폐 시도 의혹까지 하나하나 (보안) 게이트 급 사태가 까도 까도 끝없는 양파와 같다. 과기정통부가 사태를 늦장 파악한 것도 심각한 문제"라며 조사 정보의 투명한 공개와 재발 대책 마련, 피해 배상 등 전방위적 논의가 필요하다고 지적했습니다.
가장 분통을 터트리는 것은 피해자들입니다.
사건을 최초 제보한 A 씨(경기 광명시)는 취재진에 "광명 피해자들의 경우를 보면 8월 말에 1차 피해가 있었고 9월 3일을 전후해 2차로 무더기 소액결제가 이뤄졌다"고 지적했습니다.
KT가 보도로 사건이 알려지고 하루 뒤인 5일에야 비정상적 소액결제 차단에 나서며 피해가 멈췄는데 경찰 고지 시점은 1일 이후로 조치를 앞당겼으면 피해 규모가 줄었을 것이라는 비판입니다.
그는 "지역에서 자영업을 운영하는데 손님들에게 'KT 이용자냐. 혹시 소액결제 빠져나간 것 없냐'고 확인시켜 피해 사실을 알아낸 게 4일 하루에만 하루 2∼3건이었다"며 "대기업인 통신사가 적극 나서지 않아 주민들끼리 불안감 속에 알음알음으로 대처해야만 했다"고 꼬집었습니다.
KT는 무단 소액결제 건이 벌어진 것을 최초로 인지한 시점 등 사건 관련 내용을 수사 중인 현재로서는 확인해 줄 수 없다는 입장입니다.
서울 YMCA는 "통신 서비스의 근간을 흔드는 중대한 보안 사고로 KT 전체 가입자들이 사실상 무방비로 여러 피해에 노출된 것"이라며 ▲ 모든 가입자를 대상으로 한 사고 안내 문자 발송 ▲ KT 망 사용자 피해 실태 전수 조사 ▲ 정부의 중차대한 통신 사건 규정 등을 촉구했습니다.
민관 합동 조사단은 해커가 불법 초소형 기지국을 설치해 이용자들의 트래픽을 가로챈 것으로 보고 조사를 확대 중입니다.
무단 소액결제 범행에 사용된 초소형 기지국은 소규모 셀 또는 '펨토셀'이라고 불리는 기기로 추정됩니다.
보안 업계에 따르면 가짜 기지국을 만들어 이용자 트래픽을 빼돌리는 기법은 IMSI(가입자 식별 번호) 등 개인정보를 탈취하는 수법으로 알려져 있습니다.
이 기법의 별칭이 'IMSI 캐처'라고도 불리는 이유입니다.
피해자 전화로 갈 PASS나 ARS 인증이 가짜 기지국을 통해 해커에게로 가며 결제가 이뤄지는데, 이 과정에서 이용자 가입자 식별 고유 번호와 같은 개인정보 탈취도 이뤄질 수 있다는 의혹입니다.
KT는 개인정보 해킹은 없었다며 개인정보 유출 가능성을 강하게 부인하고 있습니다.
민관 합동 조사단은 해커가 불법 초소형 기지국을 활용해 빼낸 것 중에 개인정보를 포함됐는지 여부를 조사 중이라고 밝혔습니다.
정부 조사와 수사에서 밝혀져야 할 부분으로 KT의 군포·구로·광화문(수어용) 고객센터 구형 서버를 당초 예정보다 빨리 폐기했다는 의혹도 지목됩니다.
최민희 과방위원장은 KT가 지난 7월 19일 한국인터넷진흥원(KISA)으로부터 구축형 원격상담시스템 서버가 해킹됐다는 의심을 통보받고 지난달 1일 예정보다 20일가량 앞당겨 구형 서버들을 폐기했다고 지적했습니다.
수어용인 광화문을 제외하면 군포·구로 서버가 무단 소액결제 피해가 잇따라 벌어진 서울 금천구·경기 광명시 등과 지리적으로 가까운 데다 KT가 해킹 의심 통보에 예정보다 폐기를 서둘렀다는 점에서 피해자들은 두 건이 연관되지 않았느냐고 의심합니다.
KT는 광명 소액결제 피해자 26명의 최근 1년간 콜센터 상담을 이용한 이력에 대한 최 의원실 자료 제출 요구에 "정확히 사실관계를 확정할 수 없는 상황에서 고객 동의 없이 상담 이력을 제출하기 어렵고, 추정 고객 중 원격상담을 이용한 고객은 없었다"고 밝혔습니다.
민관 합동 조사단 관계자는 "아직 KISA가 KT에 전달한 원격상담시스템 서버 해킹과 무단 소액결제 사건상 연관성을 찾지 못해 두 건을 별개로 조사 중"이라고 말했습니다.
동영상 기사
동영상 기사