KT 이용자가 무단 소액결제 피해를 입게 된 첫 번째 통로는 불법 초소형 기지국이다. 실제 소액결제까지 실행되려면 이용자 개인 정보를 입력하고 본인인증을 하는 절차를 거쳐야 하는데, 이런 정보가 어떤 경로로 빠져나갔는지는 아직 파악되지 않았다. KT가 5561명 유출 정황이 있다고 밝힌 가입자식별정보(IM SI)도 통신을 위해 네트워크망에서 기술적으로 인식하는 정보일 뿐, 개인정보 없이는 소액결제에 활용되기 어렵다. 정확한 개인정보 유출 경로가 파악되지 않은 상황에서 다른 이동통신사도 뚫렸을 가능성이 있는 것 아니냐는 불안감이 확산하고 있다.
KT는 11일 서울 종로구 광화문 사옥에서 진행된 기자회견에서 “소액결제를 위해서는 이름, 생년월일을 입력해야 하는데 이는 초소형 기지국을 통해 유출되지 않는 정보”라며 “(유출 경로에 대해서는) 아직 파악하지 못했다. 경찰 수사가 필요한 부분”이라고 말했다. KT는 추가 피해를 막기 위해 12일부터 소액결제 본인 인증에 생체 인증이 도입된 패스(PASS) 인증만 적용키로 했다.
이번과 같은 피해 사례는 다른 지역이나 다른 이동통신사에서도 발생할 가능성이 거론된다. 이동통신 3사는 정부 요청에 따라 초소형 기지국에 대한 접속 전면 제한에 나선 상태다. 류제명 과학기술정보통신부 2차관은 “SK텔레콤과 LG유플러스도 유사한 사례가 있는지 조사 중이며 추가 피해 여부를 면밀히 모니터링하고 있다”고 말했다.
전문가들은 전수조사와 기지국 관리 체계 점검이 필요하다고 입을 모았다. 박춘식 서울여대 정보보호학과 교수는 “가짜 기지국을 이용한 공격은 어떤 통신사라도 표적이 될 수 있는 수법”이라며 “통신사 서버 및 피해자 휴대전화 전수 포렌식을 통한 심층 조사가 필요하다”고 말했다. 황석진 동국대 정보보호대학원 교수는 “업체에서 최신 기종의 초소형 기지국을 설치하면서 기존 장비는 철거하지 않는 경우가 있다”며 “서버에서 장비 ID를 폐기하더라도 기기 자체만으로 여전히 데이터 수집이 가능한 상태라 해킹의 표적이 될 수 있는 만큼 정부 차원의 기지국 장비 현황 조사와 미등록 장비에 대한 단속 강화가 필요하다”고 말했다.
내부자·협력사 등의 개입 가능성을 점검해야 한다는 지적도 있다. 임종인 고려대 정보보호대학원 명예교수는 “초소형 기지국의 운영·관리 방식, 개인정보 활용, 가로채기 수법 등을 봤을 때 KT 내부 환경에 대한 지식이 있어야 가능한 일로 보인다”며 “기업 내부 통제 시스템 자체에 취약점이 있지 않았는지도 분석해봐야 할 것”이라고 말했다. KT는 아직 범행에 내부 관계자가 연루된 정황은 나오지 않았다는 입장이다.
소액결제 피해를 예방하기 위해서는 우선 휴대폰 결제 이용 한도를 축소하거나 소액결제 서비스를 차단하는 방법이 있다. KT 이용자가 휴대폰 결제를 원천 차단하기 위해서는 명의자 본인이 고객센터(114)에 전화해야 한다. KT는 오는 17일 이후 KT닷컴과 ‘마이케이티’ 앱에 관련 기능을 도입할 예정이다.
심희정 양윤선 기자 simcity@kmib.co.kr