최근 KT 이용자를 대상으로 연쇄적으로 발생한 무단 소액결제 사기 피해액이 1억7000만원을 넘어섰다. SK텔레콤의 대규모 개인정보 유출 여파가 채 가시기도 전에 직접적인 금전 피해를 안긴 보안 사고까지 발생한 것이다. 국내 업체의 사이버 보안 역량에 대한 우려도 증폭되고 있다.
11일 한국인터넷진흥원(KISA)에 따르면 올해 상반기 기준 국내 사이버 침해사고 신고는 총 1034건으로 지난해 동기 대비 15% 이상 증가했다. 최근 3년 사이 신고 건수가 가파르게 상승하고 있는데, 올해 하반기에는 신고가 2000건에 육박할 것으로 예상된다.
KT 사례에서 보듯 전례 없던 해킹 방식도 등장했다. 과학기술정보통신부와 KT는 이번 무단 소액결제 사고의 유력한 원인으로 ‘불법 초소형 기지국’을 지목했다. 해커가 설치한 ‘가짜 기지국’이 KT 통신망에 접속했던 흔적이 포착됐으며, 이를 통해 이용자 정보를 빼돌려 범행을 저질렀을 가능성이 크다는 것이다.
KT 자체 집계 결과 무단 소액결제 피해 건수는 이날 기준 278건, 피해 금액은 1억7000여만원에 이르는 것으로 파악됐다. 다만 미등록 불법 기지국이 어떻게 핵심 통신망에 접속했는지, 소액결제가 어떤 방식으로 이뤄졌는지 등 정확한 경로는 추가 조사가 필요한 상황이다.
이번과 같은 피해 사례가 다른 지역이나 다른 이동통신사에서 발생할 가능성도 거론되면서 이용자들의 불안감은 가중되는 상황이다. 이동통신 3사는 정부 요청에 따라 신규 초소형 기지국에 대한 접속 전면 제한에 나섰다. 류제명 과기정통부 2차관은 “SK텔레콤과 LG유플러스도 유사한 사례가 있는지 조사 중이며 추가 피해 여부를 면밀히 모니터링하고 있다”고 말했다.
박춘식 서울여대 정보보호학과 교수는 “가짜 기지국을 이용한 공격은 어떤 통신사라도 표적이 될 수 있는 수법”이라며 “통신사 서버 및 피해자 휴대전화 전수 포렌식을 통한 심층 조사가 필요하다”고 말했다.
통신 업계는 KT 무단 소액결제 범행에 사용된 초소형 기지국 장비를 ‘펨토셀’로 추정하고 있다. 펨토셀은 반경 10m 내 통신을 제공하는 초소형·저전력 기지국으로, 주로 데이터 통신량 분산이나 음영지역 해소 목적으로 활용된다.
피해 재발 방지를 위해선 근본적인 기지국 관리 체계 점검이 필요하다는 지적이 나온다. 황석진 동국대 정보보호대학원 교수는 “업체에서 최신 기종의 초소형 기지국을 설치하면서 기존 장비는 철거하지 않는 경우가 있다”며 “서버에서 장비 ID를 폐기하더라도 기기 자체만으로 여전히 데이터 수집이 가능한 상태이기 때문에 해킹의 표적이 될 수 있다”고 설명했다. 이어 황 교수는 “정부 차원의 기지국 장비 현황 조사와 미등록 장비에 대한 단속 강화가 필요하다”고 말했다.
박 교수는 “정부 차원의 불법 전파 감시 활동 수준도 정교화해야 한다”며 “안드로이드, iOS 등 모바일 기기 자체적으로 불법 기지국 연결을 막는 설정을 의무화하는 것도 필요하다”고 강조했다.
내부자·협력사 등의 개입 가능성을 점검해야 한다는 조언도 나왔다. 임종인 고려대 정보보호대학원 명예교수는 “초소형 기지국의 운영·관리 방식, 개인정보 활용, 가로채기 수법 등을 봤을 때 KT 내부 환경에 대한 지식이 있어야 가능한 일로 보인다”며 “기업 내부 통제 시스템 자체에 취약점이 있지 않았는지도 분석해봐야 할 것”이라고 말했다.
임 교수는 “국가 주도의 인공지능 전환(AX)이 추진될수록 해킹 피해 규모는 더욱 커질 것”이라며 “국가AI전략위원회의 보안 분야 강화 또는 독립된 사이버보안위원회 출범으로 정부 차원의 투자를 강화해야 한다”고 제언했다.
양윤선 기자 sun@kmib.co.kr