ARS 인증까지 뚫은 'KT 소액결제' 용의자…어떻게 범행 가능했나

KT 무단 소액결제 사건의 용의자로 중국 국적의 중국동포 2명이 경찰에 검거되면서 이들의 범행 수법에 대해 관심이 쏠립니다.

용의자가 불법 초소형 기지국(펨토셀)을 이용해 해킹한 정황이 드러난 가운데 탈취한 신호를 어떤 방식으로 활용해 본인 인증 절차를 뚫고 결제에 성공했는지 밝히는 것이 수사의 핵심이 될 것으로 보입니다.

경기남부경찰청 사이버수사과는 정보통신망법 위반(침해) 등 혐의로 중국교포 A(48) 씨를 지난 16일 인천국제공항에서 긴급체포했다고 17일 밝혔습니다.

또 공범인 중국교포 B(44) 씨를 범죄수익 은닉규제법 위반 등 혐의로 같은 날 오후 서울 영등포구에서 긴급체포했습니다.

A 씨는 지난달 말부터 이달 초까지 불법 소형 기지국 장비를 승합차에 싣고 다니면서 확인되지 않은 방법으로 KT 이용자들의 휴대전화를 해킹해 모바일 상품권 구매, 교통카드 충전 등의 소액 결제를 한 혐의를 받고 있습니다.

B 씨는 해당 소액 결제 건을 현금화한 혐의를 받습니다.

경찰은 검거 과정에서 이들이 사용한 소형 기지국 장비를 확보했습니다.

이 장비는 통신에 쓰이는 각종 설비와 안테나 등으로 이뤄져 있는 것으로 알려졌습니다.

경찰은 이 장비가 펨토셀 역할을 했을 것으로 보고 있습니다.

그러나 구체적으로 이 장비를 어떻게 활용해 무단 소액결제를 했는지는 아직 밝혀지지 않았습니다.

KT는 가입자 전수 조사를 통해 무단 소액결제 피해 건수가 총 278건, 피해 금액은 1억 7천여만 원인 것으로 파악했습니다.

아울러 범행이 불법 펨토셀 2개를 통해 이뤄졌으며, 이를 통해 고객 5천561명의 가입자식별번호(IMSI)가 유출된 정황도 파악했습니다.

이 불법 펨토셀은 KT의 초소형 기지국 체계를 따랐지만, 자사 관리망에는 등록되지 않은 것으로 파악됐습니다.

현재 운영 중인 펨토셀이 해킹된 정황은 나오지 않았습니다.

이럴 경우 우선 의심되는 것은 과거 KT에서 운영하던 장비를 A 씨 등이 입수해 범행에 사용됐을 가능성입니다.

장비 철거 과정에서 ID는 삭제됐지만 폐기되지 않고 외부에 유출돼 범행에 이용됐다는 것입니다.

KT는 1.8㎓(기가헤르츠)의 고대역 주파수를 사용하는 특성상 실내 통신 장애 해소 등을 위해 타 통신사보다 훨씬 많은 15만여 대의 펨토셀을 활용한 것으로 파악됐으나, 이에 대한 관리는 철저하지 않았던 것으로 파악됐습니다.

한 KT 직원은 "통신 속도를 높이기 위해 집에 펨토셀을 설치했다가 이사 갈 때 KT에 수거를 요청해도 가져가지 않는 경우가 많았다"며 "이럴 경우 빈집이나 상점에 방치된다"고 전했습니다.

국내 중고 제품 판매 사이트에서는 펨토셀을 판매한다는 글도 어렵지 않게 찾아볼 수 있습니다.

A 씨가 범행에 활용할 목적으로 펨토셀을 확보하는 것이 어렵지 않았을 것으로 짐작할 수 있는 대목입니다.

다만 A 씨가 펨토셀을 불법 제조 또는 변작했거나, 이렇게 제조된 장비를 제3자로부터 입수해 범행에 사용했을 가능성도 배제할 순 없습니다.

KT는 총 278건의 피해 모두 ARS 인증을 통해 결제가 이뤄진 것으로 파악하고 있습니다.

ARS 인증을 통한 소액결제에는 이름과 휴대전화 번호, 생년월일 등이 필요합니다.

이러한 개인정보를 입력한 뒤 휴대전화로 걸려 오는 ARS 전화를 받고 인증번호를 듣거나, 지정된 숫자를 입력하는 식으로 본인 확인이 이뤄집니다.

따라서 ARS 인증 방식은 본인 명의의 휴대전화가 있어야 가능한데, A 씨의 경우 불법 펨토셀을 통해 피해자의 휴대전화 통신 신호를 가로챘을 것으로 추정됩니다.

정리하자면 A 씨 등이 피해자의 이름 등 개인정보를 알아낸 뒤 소액결제 신청을 하고, 피해자의 휴대전화로 가는 ARS 전화를 가로채 대신 받은 뒤 본인 확인 절차를 대신 수행해 무단 결제했다는 가정입니다.

이에 A 씨 등이 사전에 범행 대상의 개인정보를 별도의 방법으로 확보한 뒤, 유출된 IMSI와 대조해 범행했을 가능성이 점쳐집니다.

IMSI는 가입자마다 부여된 고유의 번호로 유심(USIM)에 저장되는 개인정보에 해당합니다.

여기에는 이용자의 이름 등은 들어가 있지 않기 때문에 IMSI만으로 소액결제를 진행할 수는 없습니다.

KT 측은 현재까지 IMSI 외에 이용자를 식별할 수 있는 다른 개인정보는 유출되지 않은 것으로 보고 있습니다.

따라서 용의자가 해킹 등 다른 경로로 유출된 개인정보와 ISMI 정보를 결합해 범행했을 가능성이 있습니다.

경찰 관계자는 "아직 수사 초기 단계로 구체적인 수법에 관해서는 확인이 필요한 부분이 많다"며 "다양한 가능성을 열어두고 수사 중"이라고 말했습니다.