KT 무단 소액결제 과정에서 암호화 해제 기술이 동원됐을 가능성이 제기되면서 추가적인 고객 피해 우려가 나오고 있다. 소액결제에 필요한 인증정보(ARS·SMS) 등의 종단 암호화 과정이 무력화됐다면 이용자 음성·문자메시지 정보가 송·수신 과정에서 실시간 탈취됐을 수 있기 때문이다.
9일 KT 무단 소액결제 사태를 조사하는 민관합동조사단의 중간결과 발표를 종합하면, 해커들이 범행을 저지른 방식은 불법 초소형 기지국(펨토셀) 조작을 통한 ARS·SMS 등 소액결제 인증 정보 탈취다.
ARS와 SMS는 원칙적으로 송신 단계에서 암호화돼 수신 시점까지 유지되기 때문에 중간에서 타인이 내용을 복호화할 수 없다. ‘종단 암호화’로 불리는 이 방식은 모든 음성과 SMS 등 정보에 적용하도록 돼 있다. 이동통신 3사(SK텔레콤·KT·LG유플러스) 모두 이 암호화 방식을 적용한다.
그런데 해커가 이렇게 암호화된 정보를 펨토셀 단계에서 해제하고 복호화에 성공했을 가능성이 제기되고 있는 것이다. 조사단은 해커가 전송되는 데이터를 송·수신 과정에서 가로채는 기능을 구현할 수 있다고 보고 실험을 통해 이를 입증했다. 시중에 판매되는 하드웨어·소프트웨어가 아닌, 해커가 자체 개발한 방식이었을 가능성이 큰 것으로 조사단은 보고 있다. 이런 가능성이 사실로 드러난다면 해커가 고객들의 음성·문자 등 통신 데이터에 접근할 수 있었을 것이라는 의미다.
무단 소액결제 사태의 범행 목적과 전반적인 범행 과정은 아직도 명확히 드러나지 않고 있다. 당초 사태 초기부터 업계에서는 범행에 들이는 기술력과 노력, 검거 가능성 등에 비해 범죄 수익이 적다는 의구심이 제기됐다.
현재까지 파악된 피해액(2억4000여만원)의 절대적 수치가 미비하다고 할 수는 없지만, 통신사 보안을 뚫어야 한다는 점과 이상 현상이 빠른 시간 안에 발각돼 범행이 종료될 수밖에 없다는 점을 고려하면 다른 범행 동기가 존재할 가능성이 있다는 얘기다. ARS·SMS 데이터 복호화에 성공했다고 해도 결국 인증에 필요한 고객 개인정보가 필요한데 이를 어떻게 확보했는지도 아직 구체적으로 밝혀지지 않았다.
업계에서는 KT가 1년 이상 당국에 보고하지 않았던 것으로 드러난 서버 악성코드 감염 건과 이번 사태 간 연관성이 있을 가능성에도 주목한다. 앞서 KT는 지난해 3~7월 서버 43대가 악성코드 ‘BPFDoor(BPF도어)’에 감염된 사실을 인지하고도 정부에 신고하지 않고 자체적으로 처리했다.
민관합동조사단은 KT가 자체 처리했던 감염 서버를 추가적으로 분석해 개인정보 유출과 음성·문자 정보 탈취 여부 등에 대해 규명할 계획이다.
김지훈 기자 germany@kmib.co.kr