굿모닝작전
KT '무단 소액결제' 사태와 관련해 불법 초소형 기지국을 활용한 사이버 공격 가능성이 제기됐다. 전문가들도 초소형 기지국을 활용한 해킹 가능성에 무게를 두고 있다. 다른 한편에선 해킹이 아닌 내부자의 일탈로 발생한 사고일 수 있다는 관측도 나온다.
"가짜 초소형 기지국 통한 침해 사고 가능성 커"
11일 업계에 따르면 KT 무단 소액결제 피해 지역 일대의 가입자 통화 이력에서 미상의 기지국 ID가 발견됐다. KT가 관리하는 기지국이 아닌 미상의 기지국에 피해자가 접속했다는 의미다. 누군가 가짜 기지국을 세워 트래픽을 빼돌렸을 가능성이 있다.미상의 ID가 발견된 만큼 초소형 기지국 '펨토셀'을 통한 해킹이 이뤄졌을 가능성이 크다는 관측에 힘이 실린다. 무단 소액결제 사고가 특정 지역에서만 일어나서다. 차량으로 이동하면서 초소형 기지국을 통해 근처 가입자들의 정보를 수집했을 것이라는 분석이다. 펨토셀은 이동통신 신호를 강화하기 위해 주로 사용되는 기기다.
황석진 동국대 정보보호학과 교수는 "초소형 기지국은 크기가 작아 옮기고 다니기도 편하다. 전기만 있으면 언제든지 가동할 수도 있다"며 "이동하면서 정보를 수집했기 때문에 특정 지역에 특정 피해자들이 몰리지 않았나 생각된다"고 했다.
가짜 초소형 기지국은 KT가 운영하는 주변 기지국보다 강한 신호를 보냈을 것으로 추정된다. 휴대폰을 속이는 것이다. 기본적으로 휴대폰은 가장 신호가 강한 기지국에 자동으로 연결된다. 가짜 초소형 기지국이 주변 기지국보다 강한 신호를 내보내면 휴대폰이 곧바로 연결될 수 있다.
박춘식 아주대 사이버보안학과 교수는 "학교 수업으로도 가짜 와이파이를 만들어서 보면 주변 기기들이 많이 들어오는 걸 확인할 수 있다. 해당 와이파이에 접근한 기기들의 정보는 실시간으로 확인된다. 심지어 도청까지 가능하다. 이걸 기지국으로 확장하면 가짜 기지국이 되는 것"이라고 설명했다.
피해자들의 휴대폰이 가짜 초소형 기지국으로 접근한 이후 무단 소액결제를 진행하는 과정에서 두 가지 시나리오가 예상된다. 사용자 정보를 탈취하고 문자 메시지 등으로 악성코드를 보내 핸드폰을 장악했거나 해킹에 활용했을 수 있다는 설명이다.
지난 4월 일본 도쿄와 오사카에서도 비슷한 사례가 있었다. 가짜 기지국이 지나가는 사람들의 통신을 방해하고 피싱 문자메시지 보냈던 것. 일본 총무성은 지난 5월2일 가짜 기지국에 의한 휴대전화 간섭과 피싱 문자 메시지를 주의하라고 촉구하기도 했다.
"전례 없는 사고…납득 안 되는 미묘한 사건"
박 교수는 이번 사고가 일반적인 해킹 사고와 다르다면서 "미묘하다"고 진단했다. 공격을 하는 위치에서 해킹을 했다면 통상 랜섬웨어로 협박하거나 개인정보를 다른 곳에 팔아 이익을 취하는 데 이번 사례는 소액결제에 그쳐서다.박 교수는 "소액결제를 하면 신고로 이어져서 금방 들통이 날 텐데 왜 이런 방식을 취했는지 연관성이 잘 안 지어진다"며 "그다음으로는 소액결제를 한다고 해도 이익이 해커한테 가지 않는다는 점이 이상하다. 소액결제로 상품권을 결제하더라도 돈은 결국 상품권 판매자로 떨어진다. 어떤 목적으로 공격을 진행했는지 가늠이 안 된다"고 말했다.
이번 KT 무단 소액결제 사고의 목적과 경위가 잘 그려지지 않는 만큼 현시점에선 모바일 포렌식이 중요한 상황이다. 박 교수는 "서버만 보지 말고 모바일 포렌식을 해야 한다. 기기는 거짓말을 안 한다. 더 정확한 상황 파악을 위해 악성코드 감염은 있었는지, 가짜 기지국에 접근했는지 포렌식을 통해 봐야 한다"고 말했다.
임종인 고려대 정보보호대학원 교수는 상대적으로 피해금액이 작은 점을 주목했다. KT의 자체 파악에 따르면 무단 소액결제 사고는 278건으로 총 1억7000여만원의 피해가 발생했다.
임 교수는 "장비 구입부터 비용이 많이 들 텐데 해킹이라면 투자대비효율(ROI)이 맞지 않는다"며 "외부 해커라면 내부 정보를 전부 해킹했을 것이다. 내부자의 개입 가능성이 커 보인다"고 말했다.
임 교수는 펨토셀을 통해 무단 소액결제가 이뤄졌다면 기기가 어떻게 운영되는지 내부 정보를 정확히 알 수 있어야 한다고 부연했다. 임 교수는 "펨토셀을 이용해서 기지국 접근을 가로채는 식으로 금융 사기를 쳤다면 아파트 단지에 평소에 접근했던 사람일 확률이 높다. KT 전직 직원이나 협력사 직원이 KT 복장을 한 채 별다른 검문 없이 아파트 옥상이나 단지함에 초소형 기지국을 넣어뒀을 가능성이 있다"고 말했다.
내부자 소행일 경우 '개인정보 해킹 정황이 없다'는 KT의 주장과 맞물리게 된다. 서버 개인정보 유출 없이 사고가 일어날 수 있는 경우는 내부자 소행일 가능성이 크기 때문이다. 다만 "무단 소액결제가 피해가 이미 일어난 상황에서 개인정보 유출은 없었다는 건 어불성설"이라는 것이 황 교수의 지적이다.
가짜 초소형 기지국 외에도 '와이어 티핑'으로 해킹이 이뤄졌을 가능성도 있다. 와이어라 불리는 대리점에서 본사로 넘어가는 통신선을 탈취해 특정 지역에서만 무단 소액결제가 일어났을 수 있다는 추측이다. 황 교수는 "특정한 지역에서 사고가 난 것으로 미뤄볼 때 와이어 티핑이 일어났을 수도 있다"고 말했다.
KT 무단 소액결제 사고와 관련해 과학기술정보통신부는 민관합동조사단을 구성해 정밀 조사를 진행 중이다. 과기정통부는 이날 KT 고객 무단 소액결제 침해사고 브리핑에서 SK텔레콤과 LG유플러스의 경우 가짜 기지국이 발견되지 않았다고 발표했다. 현재 이동통신3사(SK텔레콤·KT·LG유플러스) 모두 신규 초소형 기지국의 통신망 접속을 전면 제한하고 있다.
류제명 과기정통부 2차관 이날 브리핑에서 SK텔레콤 유심 해킹 사태와 같이 KT에 이용자 위약금 면제를 정부가 요구할지 여부에 관해 "민관 합동 조사단 조사 결과에 따라 판단할 것"이라고 말했다. 이번 소액결제 피해 사고와 김수키 관련된 사건의 연관성에 대해선 "지금 단계에서 말하기 어렵다"고 답했다.
박수빈 한경닷컴 기자 waterbean@hankyung.com
관련뉴스
