시큐리티팩트

[시큐리티팩트=최석윤 기자] 지난달 말, 경기 광명에 사는 한 시민은 잠든 사이 수십만 원의 모바일 상품권이 결제되는 피해를 입었다. 분명 휴대폰은 곁에 있었는데도 말이다. 이후 유사한 피해 사례가 연달아 터져 나왔다. 처음에는 "불가능하다"며 고객 탓으로 돌리던 KT는 결국 심각한 보안 사고임을 인정했다. 이번 사태는 단순한 해킹을 넘어 통신 인프라의 근본적 취약성과 기업의 부실한 대응, 그리고 소비자 보호의 허점까지 드러낸 '예고된 인재'라는 비판이 거세지고 있다.

불법 '펨토셀'이 뭐길래.. 정교한 해킹 수법 전모

피해자들은 악성 앱이나 스미싱 링크를 누르지 않았다. 그런데도 피해를 입었다. 이번 사건은 불법 초소형 기지국인 '펨토셀'을 활용한 것으로 추정된다. 펨토셀은 원래 통신 음영지역에서 통화 품질을 개선하기 위해 도입된 장비다. 하지만 범인들은 이 장비의 보안 허점을 파고들었다.

범인들은 불법 펨토셀을 확보해 차량 등에 설치했다. 신호가 더 강한 불법 기지국으로 KT 휴대폰이 자동 접속되자, 해커들은 휴대폰의 고유 정보인 IMSI(국제이동가입자식별정보)와 통신 인증 절차를 중간에서 가로챘다. 이후 소액결제에 필요한 SMS 인증번호나 ARS 인증 신호까지 모두 빼돌렸다. 피해자는 잠든 사이, 자신도 모르게 수십만 원의 상품권이 구매되거나 교통카드가 충전되는 피해를 당했다. 이들은 피해자가 즉시 알아차리기 어렵도록 소액을 여러 차례 나눠 결제하는 치밀함도 보였다.

현재까지 확인된 피해 건수는 278건, 피해액은 약 1억 7천만 원에 달한다. 불법 기지국 신호 수신 이력이 있는 고객은 1만 9천여 명에 이르며, 이 중 5561명의 IMSI가 유출됐을 가능성이 제기됐다. 중요한 것은, SK텔레콤과 LG유플러스는 펨토셀을 운용하지 않거나 다른 방식으로 암호화하기 때문에 동일한 피해가 발생하지 않았다는 점이다. 이는 KT만의 고유한 보안 취약점이 이번 사고의 원인이라는 분석에 힘을 싣는다.

늑장 대응과 증거인멸 의혹.. KT 책임론 확산

사건의 피해 규모가 커진 데에는 KT의 초기 대응 실패가 결정적이라는 비판이 쏟아지고 있다. 경찰은 지난 9월 1일 다수의 피해 신고를 접수하고 KT에 긴급 점검을 요청했다. 그러나 KT는 "해킹은 불가능하다"며 사실상 며칠간 대응을 지연했다. 이로 인해 불법 기지국을 차단할 수 있는 골든타임을 놓쳤다는 지적이다.

이재명 대통령까지 직접 나서 "사건 축소·은폐 의혹을 철저히 밝히라"고 지시했다. 대통령은 "소를 잃는 것도 문제지만, 외양간조차 고치지 않는 것은 더 큰 문제"라며 기업의 보안 투자를 강조했다. 이번 사건은 단순한 해킹 사고로 볼 수만은 없다. KT가 경찰 통보 약 2주 전인 8월 1일 관련 서버를 조기 폐기한 사실이 드러나면서 '증거인멸' 의혹까지 제기되고 있다.

KT 새노조는 "관리 소홀로 해커가 비교적 쉽게 초소형 기지국을 입수할 수 있는 환경이 조성됐다"고 지적했다. 또한 새노조는 김영섭 사장을 향해 "부실한 초기 대응과 허위 보고로 피해를 키웠다"며 "전문성 부족이 드러났다"고 비판했다. 김 사장은 기자회견에서 사과하고 "피해 고객 전원 보상"을 약속했지만, 책임 인정은 없었다는 비판에 직면했다.

허술한 법과 제도, 정부의 대책은?

이번 사건을 계기로 현재의 법과 제도가 얼마나 허술한지 드러났다. 민주당 조인철 의원은 해킹 사건의 조사 범위를 확대하고, 보안 위반 시 벌금을 부과하는 등 정보통신망법 개정안을 발의했다. 현재 법은 '심각한 보안 위반'만 조사할 수 있어 일반적인 해킹 사고는 제외되는 경우가 많았다. 또 법은 정보통신서비스 사업자가 보안 침해를 신고할 의무만 있을 뿐, 실제 피해자에게 통보할 의무는 없어 2차 피해가 빈번하게 발생해왔다.

소액결제 피해에 대한 통신사의 책임 회피 관행도 도마에 올랐다. 과거 무단 결제 피해를 당한 한 고객은 통신사에 문의했지만 "구글을 통해서만 취소가 가능하다"는 답변만 들었다. 이는 통신사가 소액결제 수수료 이득만 챙기고 있다는 비판으로 이어졌다.

한편, 이번 KT 소액결제 해킹 사건으로 국민적 불안감이 확산되자 정부는 국내 주요 통신 3사에 대한 전면적인 보안 점검에 나섰다. 정부는 합동조사를 통해 정확한 해킹 경로를 파악하고, 재발 방지를 위한 제도적, 기술적 대책을 마련할 예정이다. 이 대통령은 "기업이 해킹 사고를 단순한 기술적 사고로 치부하거나 방관해서는 안 된다"며 정부 역시 "말이 아닌 행동으로 국민의 신뢰를 회복해야 한다"고 강조했다.

남은 의문점들, 그리고 수습 방안은?

아직 밝혀지지 않은 의문점들이 남아있다. 해커가 피해자 돈으로 상품권을 샀지만, 실제로 금전적 이득을 얻었는지 명확하지 않다. 피해자 명의로 충전된 교통카드나 상품권이 해커에게 어떤 방식으로 이득이 됐는지 의문이 제기된다.

이번 해킹이 KT가 운영하는 기존 펨토셀에서 발생한 것인지, 아니면 해커가 새로 설치한 '미등록 기지국'을 이용한 것인지도 아직 불분명하다. 어느 쪽이든 통신망 보안에 심각한 문제가 있다는 사실을 보여준다.

이번 사태를 수습하기 위해서는 단기적, 장기적인 노력이 모두 필요하다. 우선, KT는 피해자들에게 신속하고 완전한 보상을 하고, 유심 교체 등 추가 피해 방지 조치를 철저히 이행해야 한다. 불법 기지국에 대한 실시간 탐지 시스템을 전국적으로 운영하고, 장비 등록 및 인증 절차를 강화해야 한다. 장기적으로는 통신사별 펨토셀 운용 정책과 암호화 수준을 전반적으로 재검토하고, 정부는 관련 법규를 정비해 기업의 책임과 소비자의 권리를 명확히 규정해야 한다. 이번 KT 해킹 사태는 단순히 한 기업의 문제를 넘어, 디지털 시대에 우리가 맞이한 새로운 보안 위협에 대한 경고로 받아들여야 할 것이다.