굿모닝작전
‘가짜 기지국’을 활용한 KT 가입자 정보 유출 피해자가 총 5561명인 것으로 드러났다. 경찰 등이 조사에 들어가고 KT가 결제를 차단하면서 확인된 피해 건수는 278건에 그쳤지만, 통신사들이 갈수록 교묘해지는 해킹의 표적이 되고 있다는 지적이 나온다. 김영섭 KT 사장은 11일 서울 광화문 웨스트사옥에서 열린 소액결제 피해 관련 브리핑에서 “소액결제 피해 고객에게 큰 불안과 심려를 끼쳐 사과드린다”며 “피해 보상안을 신속히 마련하겠다”고 말했다.
KT는 이날 기자회견에서 “IMSI(국제이동가입자식별정보) 유출 가능성이 있는 것으로 확인된 고객은 총 5561명”이라고 밝혔다. 이어 “조사 과정에서 불법 초소형 기지국의 신호를 수신한 고객을 파악했다”며 “이 중 일부 고객의 IMSI 값이 유출됐을 가능성이 있음을 인지하고 조사 중”이라고 했다.
범인은 2개의 가짜 기지국을 활용해 가입자 정보를 탈취했다. 대상자는 총 1만9000명이다. 이 중 5561명의 정보가 새어 나갔고, 278건의 피해와 1억7000만원의 피해 금액이 확인됐다.
사건에 사용된 것으로 알려진 ‘IMSI 캐처’ 장비와 초소형 기지국 역할을 하는 ‘펨토셀’은 반경 10m 통신을 제공하는 초소형·저전력 이동통신 기지국으로 고층 아파트, 지하주차장 등 기지국 신호가 잘 닿지 않는 곳에 주로 설치된다. IMSI 캐처는 노트북과 백팩 모양 등 크기가 다양하다. 한 대의 장비로 반경 2~3㎞ 이내에서 휴대폰과 기지국을 오가는 데이터를 가로챌 수 있다. 다만 과학기술정보통신부와 KT는 “가짜 기지국의 실물 장비를 특정하지 못해 파악 중”이라고 설명했다.
개인정보 유출로 금전적 피해가 발생했다는 점에서 이번 해킹은 SK텔레콤의 유심 유출과는 성격이 다르다. SK텔레콤 해킹 사고만 해도 중앙 서버에 저장된 전체 가입자의 유심 정보가 공격 대상이었지만 해킹이 시작된 후 5년이 지난 현재까지 접수된 피해 사례는 없다. 이에 대해 KT 측은 “경찰로부터 사건을 접수한 후에 스미싱이라고 단정한 것이 실수”라며 “다만 중앙 서버 해킹은 아니고 5561명 외에 추가 정보 유출은 없다”고 해명했다.
워 드라이빙은 차량에 무선 장비를 싣고 이동하면서 취약한 와이파이 네트워크 등을 탐색·침투하는 행위를 뜻한다. 최근 해외에서 비슷한 사례가 보고된 바 있다. 지난 4월 일본에서는 차량에 가짜 기지국을 설치해 번화가에서 피싱 메시지를 살포한 사건이 발생했다. 같은 달 필리핀 마닐라에서는 중국인이 차량에 IMSI 캐처를 설치해 운용하다가 현지 경찰에 붙잡혔다.
사건을 수사 중인 경기남부경찰청은 광명에서 73건, 부천에서 6건, 과천에서 5건, 금천구에서 45건 등 총 129건의 소액결제 피해가 접수됐다고 밝혔다. 아직 피해 사실을 인지하지 못한 사례도 상당수 있을 것으로 보여 피해 규모는 더욱 커질 전망이다. 경찰은 휴대폰을 통해 돈이 빠져나간 시간이 대체로 새벽이고 피해자가 광명 하안동과 금천구 등지를 주기적으로 오간 사실에 주목하고 있다. 금천과 광명에 머무는 동안 가짜 기지국에 의해 개인정보를 탈취당했을 가능성이 있다는 설명이다.
강경주/최지희 기자 qurasoha@hankyung.com
◇2만 명 개인정보 털릴 뻔
KT는 이날 기자회견에서 “IMSI(국제이동가입자식별정보) 유출 가능성이 있는 것으로 확인된 고객은 총 5561명”이라고 밝혔다. 이어 “조사 과정에서 불법 초소형 기지국의 신호를 수신한 고객을 파악했다”며 “이 중 일부 고객의 IMSI 값이 유출됐을 가능성이 있음을 인지하고 조사 중”이라고 했다.
범인은 2개의 가짜 기지국을 활용해 가입자 정보를 탈취했다. 대상자는 총 1만9000명이다. 이 중 5561명의 정보가 새어 나갔고, 278건의 피해와 1억7000만원의 피해 금액이 확인됐다.
사건에 사용된 것으로 알려진 ‘IMSI 캐처’ 장비와 초소형 기지국 역할을 하는 ‘펨토셀’은 반경 10m 통신을 제공하는 초소형·저전력 이동통신 기지국으로 고층 아파트, 지하주차장 등 기지국 신호가 잘 닿지 않는 곳에 주로 설치된다. IMSI 캐처는 노트북과 백팩 모양 등 크기가 다양하다. 한 대의 장비로 반경 2~3㎞ 이내에서 휴대폰과 기지국을 오가는 데이터를 가로챌 수 있다. 다만 과학기술정보통신부와 KT는 “가짜 기지국의 실물 장비를 특정하지 못해 파악 중”이라고 설명했다.
개인정보 유출로 금전적 피해가 발생했다는 점에서 이번 해킹은 SK텔레콤의 유심 유출과는 성격이 다르다. SK텔레콤 해킹 사고만 해도 중앙 서버에 저장된 전체 가입자의 유심 정보가 공격 대상이었지만 해킹이 시작된 후 5년이 지난 현재까지 접수된 피해 사례는 없다. 이에 대해 KT 측은 “경찰로부터 사건을 접수한 후에 스미싱이라고 단정한 것이 실수”라며 “다만 중앙 서버 해킹은 아니고 5561명 외에 추가 정보 유출은 없다”고 해명했다.
◇‘워 드라이빙’ 수법 쓰였나
가짜 기지국을 어떤 방식으로 운용했는지에도 관심이 쏠린다. 범인이 차량에 펨토셀 등을 싣고 다니며 네트워크를 가로채는 이른바 ‘워 드라이빙’ 수법을 활용했을 가능성이 있다는 설명이 설득력을 얻고 있다. 경기 광명과 서울 금천구 등 인접 지역에 피해가 집중된 것으로 나타난 것에 비춰 범인이 장비를 이동식으로 운용하며 트래픽을 가로챘을 수 있다는 것이다.워 드라이빙은 차량에 무선 장비를 싣고 이동하면서 취약한 와이파이 네트워크 등을 탐색·침투하는 행위를 뜻한다. 최근 해외에서 비슷한 사례가 보고된 바 있다. 지난 4월 일본에서는 차량에 가짜 기지국을 설치해 번화가에서 피싱 메시지를 살포한 사건이 발생했다. 같은 달 필리핀 마닐라에서는 중국인이 차량에 IMSI 캐처를 설치해 운용하다가 현지 경찰에 붙잡혔다.
사건을 수사 중인 경기남부경찰청은 광명에서 73건, 부천에서 6건, 과천에서 5건, 금천구에서 45건 등 총 129건의 소액결제 피해가 접수됐다고 밝혔다. 아직 피해 사실을 인지하지 못한 사례도 상당수 있을 것으로 보여 피해 규모는 더욱 커질 전망이다. 경찰은 휴대폰을 통해 돈이 빠져나간 시간이 대체로 새벽이고 피해자가 광명 하안동과 금천구 등지를 주기적으로 오간 사실에 주목하고 있다. 금천과 광명에 머무는 동안 가짜 기지국에 의해 개인정보를 탈취당했을 가능성이 있다는 설명이다.
강경주/최지희 기자 qurasoha@hankyung.com
관련뉴스
