[서울=뉴스핌] 이성화 기자 = 정부와 KT가 최근 발생한 무단 소액결제 피해 사태의 유력한 원인으로 '불법 초소형 기지국(펨토셀)'을 통한 사이버 공격 가능성을 지목한 가운데 왜 KT 가입자만 피해 대상이 됐는지에 대한 의혹이 확산하고 있다.

업계 안팎에서는 공격자들이 이동통신사 가운데 처음부터 KT만 노린 것인지, KT를 상대로 한 공격이 비교적 쉬운 구조라 가능했던 것인지를 놓고 의견이 분분하다.

전문가들 역시 초소형 기지국을 악용한 신종 해킹 수법이라는 점에서 여러 가지 가능성이 있지만 현재 상황에서 KT의 문제만으로 단정 지을 수 없으며 정부의 조사와 수사 결과를 지켜봐야 한다는 입장이다.

12일 KT에 따르면 현재까지 파악된 소액결제 피해건수는 278건, 피해금액은 1억7000만원에 달한다. 불법 초소형 기지국의 신호 수신 이력이 있는 KT 가입자 1만9000명 가운데 5561명의 국제이동가입자식별정보(IMSI)가 유출된 정황도 확인됐다.

구재형 KT 네트워크기술본부장은 지난 11일 열린 소액결제 피해 관련 브리핑에서 "과금 데이터(CDR) 역추적 과정에서 KT의 초소형 기지국 아이디(ID) 체계를 따르지만 회사 관리시스템에는 존재하지 않는 셀 2개가 확인됐다"고 설명했다.

다만 "관리 시스템에 등록되지 않은 ID만 보였지 저희도 실물을 본 것은 아니다"라며 "전수조사를 통해 운용 중인 장비는 관리시스템에 없으면 개통되지 않도록 조치했다"고 밝혔다.

◆KT만 다른 문자 전송 방식…보안 취약 우려

과학기술정보통신부와 KT가 언급한 펨토셀은 통상 가정이나 소규모 사무실 등 반경 10m의 실내 환경에서 통신 품질을 개선하기 위해 이동통신사가 제공하는 초소형 기지국 장치다.

펨토셀은 휴대전화 이용자의 단말기와 기지국, 기지국과 이동통신 코어망을 연결하는데 이 과정에서 이동통신사별 인증·암호화 방식이 다르다.

김용대 한국과학기술원(KAIST) 전기·전자공학부 교수에 따르면 KT의 문자메시지(SMS) 구현 방식은 SK텔레콤과 달리 단말기와 이동성 관리 장비 간 종단 암호화가 적용되지 않는다. 김 교수는 "KT와 같은 방식은 펨토셀 내부에서 복호화된 SMS 본문을 볼 수 있고 해킹된 펨토셀에서 이를 그대로 가로채 소액결제 일회용 비밀번호(OTP)를 탈취할 수 있다"고 설명했다.

SK텔레콤과 LG유플러스는 에어망(단말기와 기지국을 연결하는 무선 구간)과 코어망(기지국과 통신사를 연결하는 유선 구간)을 모두 암호화하는 방식을 쓰지만 KT는 에어망만 암호화하고 있어 펨토셀과 같은 초소형 기지국이 해킹되면 취약할 수밖에 없다.

다만 KT는 이번 사태와 관련해 코어망 해킹이나 복제폰 정황은 없다고 선을 그었다.

◆중고거래까지…전국 15만대 KT 초소형 기지국 관리 부실 지적

이동통신3사 중 펨토셀을 가장 많이 보유하고 있는 KT의 관리 부실 탓이라는 시각도 있다. KT는 전국에서 15만7000대의 펨토셀을 운용하고 있다.

온라인상에서는 KT에서 LTE 스몰 셀 '기가 아토(GiGA Atto) 기기를 받아 LTE 신호가 약한 가정에 설치했다는 후기를 찾아볼 수 있다. KT가 2017년 개발한 기가 아토는 인터넷선만 연결하면 손쉽게 설치가 가능하며 댁내형(초소형) 중계기보다 커버리지가 넓다.

중고나라 등 중고거래 사이트에는 최근까지 KT 기가 아토를 판매한다는 글이 올라오기도 했다. KT 측은 해당 글에서 고객센터를 통한 반납을 요청했지만 실제 반납이 이뤄졌는지는 알 수 없다.

KT 새노조 역시 이날 성명을 내고 "해킹 경로로 지목되는 초소형 기지국은 KT가 협력업체와 공동 개발해 수년간 홍보해 온 제품"이라며 "초소형 기지국의 관리가 제대로 이뤄지지 않고 있다는 점이 문제"라고 지적했다.

또 '고객이 인터넷을 해지하거나 이사할 때 가정에 설치된 초소형 기지국이 제대로 회수되지 않는 경우가 빈번했다'는 현장 직원들의 진술을 토대로 외부에서 비교적 쉽게 KT의 펨토셀을 입수한 다음 범죄에 악용할 수 있는 환경이 조성됐다고 주장했다.

새노조는 "전국에 있는 초소형 기지국에 대한 전수 조사가 필요하며, 필요하면 모두 회수해 리스크를 원천 차단해야 한다"며 "보안 취약점을 잘 아는 내부자와의 연관성은 없는지 KT와 관련 협력업체에 대한 조사도 실시해야 한다"고 강조했다.

임종인 고려대 정보보호대학원 명예교수는 "펨토셀을 이용한 방식은 장비만 있다고 해서 되는 것이 아니라 기지국이나 네트워크 환경을 잘 알아야 한다"며 "그런 점에서 KT 내부 또는 협력사 직원이 개입됐을 가능성이 있다"고 추측했다.

구 본부장은 전날 브리핑에서 KT망에 불법 초소형 기지국이 연결된 이유에 대해 "KT가 사용하는 초소형 기지국의 일부를 불법 취득해 개조했거나 특정 시스템을 만들어 초소형 기지국의 일부분을 떼서 옮긴 것으로 추정한다"고 말했다.

내부자 가담 의혹에 대해서는 "아직 확인되지 않았다"면서도 "통신과 관련해 상당한 지식이 있다는 정도는 유추할 수 있다"고 부연했다.

공격자들이 펨토셀을 빼돌려 소액결제를 시도하더라도 실제 결제까지 이뤄지려면 KT 가입자의 단말 정보나 주민등록번호 앞자리, 전화번호 등 추가 개인정보가 필요하다. 하지만 추가 개인정보가 어떤 경로로 유출됐는지는 아직 밝혀지지 않았다.

김승주 고려대 정보보호대학원 교수는 "보안에 취약한 불법 펨토셀이 연결됐다는 것 자체로 KT에 과실이 있지만 펨토셀만으로는 소액결제를 설명할 수는 없다"며 "무단 소액결제 과정에서 공격자들이 어떻게 KT 가입자의 개인정보를 가져왔는지를 밝혀야 한다"고 말했다.

과학기술정보통신부와 개인정보보호위원회는 이번 사태의 구체적 원인을 규명하기 위해 본격적인 조사에 착수했으며 경찰도 수사를 진행하고 있다.

권헌영 고려대 정보보호대학원 교수는 "'내부자 소행이다', '해외 해킹 조직이 개입했다' 등 여러 가지 말이 나오지만 아직 드러난 것은 없지 않은가"라며 "책임 규명은 수사 결과로 하고 지금은 이런 사이버 공격이 발생했을 때 국가 차원에서 종합적으로 대응하는 체계를 정립해야 할 때"라고 했다.  

shl22@newspim.com