KT 해킹으로 인한 소액결제 피해 사건
민관합동조사단, 기존 4개 외 20개 추가 확인
피해자 늘고 KT ‘축소·은폐’ 의혹까지
KT 고객들의 휴대폰을 ‘좀비폰’으로 만들어 소액결제를 빼간 ‘불법 기지국’ 해킹 사건이, 알려진 것보다 훨씬 더 광범위하게 이루어졌던 것으로 드러나며 파문이 걷잡을 수 없이 커지고 있다.
민관합동조사단은 KT가 당초 파악했다고 밝힌 4개의 불법 기지국 아이디(ID) 외에, 20여 개를 추가로 확인했다. 이에 따라 피해자 수도 계속 늘어날 전망이어서, KT의 초기 부실 대응과 축소·은폐 의혹에 대한 비판이 최고조에 달하고 있다.
이번 사태는 지난 8월, 경기 광명시 일대에서 KT 고객들이 자신도 모르는 사이에 수십만 원의 소액결제 피해를 보는 사건이 속출하며 시작됐다.
초기 조사 결과, 해커들이 차량에 싣고 다니는 불법 초소형 기지국, 이른바 ‘이동식 펨토셀’을 이용해 KT 고객들의 통신을 가로채고, 인증문자 등을 탈취한 사실이 드러났다.
문제는 피해 규모가 KT의 초기 발표보다 훨씬 크다는 점이다. 민관합동조사단이 20여 개의 불법 기지국 아이디를 추가로 확인하면서, 무단 소액결제를 당한 피해자도 10여 명 추가로 확인됐으며, 경찰과 KT가 집계한 피해자 수와 금액 역시 계속해서 늘어나고 있다.
KT가 공식적으로 인정한 피해자 외에도 아직 피해 사실조차 모르는 잠재적 피해자가 더 있을 수 있다는 공포가 확산되고 있다.
이번 해킹의 핵심은 ‘펨토셀’이라 불리는 초소형 기지국 장비다. 펨토셀은 전파가 잘 닿지 않는 실내 음영지역 해소를 위해 도입된 장비로, 가정용 인터넷망에 연결해 사용한다. 해커들은 보안에 취약한 구형 펨토셀 장비를 해킹해, 이를 소형 컴퓨터 등과 결합하여 차량에 싣고 다니는 ‘이동식 가짜 기지국’을 만들었다.
이 가짜 기지국 근처를 지나는 KT 고객의 휴대폰이 자신도 모르게 이 기지국에 접속하면, 그때부터 휴대폰으로 오가는 모든 통신 내용, 특히 암호화되지 않은 문자메시지(SMS)가 해커에게 그대로 노출된다.
해커들은 이 방식으로 피해자 명의로 소액결제를 시도하고, 실시간으로 전송되는 인증번호를 가로채 결제를 완료한 것이다.
사태 초기 “개인정보 유출은 없다”고 밝혔던 KT의 대응은, 사태를 더욱 악화시켰다. 정부의 합동조사가 시작되자 뒤늦게 국제모바일가입자식별번호(IMSI) 등 민감한 개인정보 유출 사실을 인정하며 고개를 숙였지만, 이미 신뢰는 바닥으로 떨어졌다.
설상가상으로, KT가 해킹된 서버의 로그 자료를 숨기는 등 조사를 고의로 방해했다는 의혹까지 제기되며, 단순한 보안 실패를 넘어 기업의 도덕적 해이 문제로까지 번지고 있다.
정부는 이번 사태를 계기로 기업의 보안 사고 신고를 의무화하고, 늑장·허위 신고 시 ‘징벌적 과징금’을 부과하는 등 제도 개선에 나섰다. 하지만 가장 중요한 것은, 이미 뚫려버린 통신망에 대한 국민의 불안감을 해소하는 것이다.
KT는 “피해 금액 전액을 보상하겠다”고 밝혔지만, 한번 무너진 ‘보안’에 대한 신뢰를 되찾기까지는 상당한 시간이 걸릴 것으로 보인다. 지금 당장 내 휴대폰이 ‘좀비폰’이 될 수 있다는 공포 앞에서, 통신사의 약속은 공허하게만 들린다.
전체 댓글 0