KT 무단 소액결제 사기 범행에 동원된 ‘불법 기지국’ 장비가 중국 온라인 사이트, 중고거래 플랫폼 등에서 버젓이 판매되고 있는 것으로 나타났다.
18일 경찰과 통신업계에 따르면 KT 소액결제 사건 피의자인 40대 중국인은 불법 소형 기지국 장비를 승합차에 싣고 다니며 휴대전화를 해킹해 소액결제를 한 혐의를 받는다. KT 자체 조사 결과 이 과정에서 이동가입자식별정보(IMSI)뿐 아니라 단말기식별번호(IMEI), 휴대전화 번호까지 유출된 것으로 드러났다.
대표적인 초소형 기지국 장비 펨토셀은 초소형·저전력 이동통신 기지국으로 고층 아파트나 지하주차장 등 주로 기지국 신호가 잘 닿지 않는 곳에 설치된다. 이른바 ‘IMSI 캐처’ 역시 가짜 기지국으로 활용된다. 통신사 기지국보다 강한 신호를 보내 이용자의 휴대전화가 연결되면 인증 문자, 음성 통화 등 민감한 정보를 가로채는 방식인데, IMSI 같은 개인정보 탈취도 이뤄질 수 있다.
이처럼 범죄에 악용될 수 있는 통신 장비들이 중국 사이트나 중고 거래 플랫폼에서 판매되고 있다. 중국 전자상거래 사이트 알리바바에서는 휴대용 IMSI 캐처를 1대당 7000만~1억2000만원에 판매 중이다. 휴대전화를 가짜 기지국에 연결한 후 대량의 스미싱 문자를 보내는 데 사용되는 ‘SMS 블래스터’도 400만원대에 거래되고 있다. 펨토셀 역시 대당 40만~70만원 사이에 판매되고 있으며 각종 중고거래 사이트에 올라온 거래 글을 쉽게 찾아볼 수 있다.
국내에선 전례가 없었던 가짜 기지국 악용 범죄는 이미 해외에선 유사 사례가 이어지고 있다. 지난 5월 튀르키예에서는 차량에 가짜 기지국 장비를 싣고 기업·공공기관을 사칭한 스미싱 문자를 전송한 외국인 7명을 체포했다. 해당 사건 발생 이후 피해자 개인정보가 중국 서버로 전송돼 스피어피싱(특정 개인·조직을 표적화한 사이버 공격)에 사용된 것으로 나타났다. 지난 3월과 8월에는 각각 필리핀, 태국에서 같은 수법으로 범행을 저지른 용의자들이 체포됐다. 이들은 모두 중국 국적의 ‘윗선’으로부터 일당을 지급받았다.
전파법에 따라 국내 전파환경 및 방송통신망 등에 위해를 줄 우려가 있는 기자재를 수입하려는 자는 국립전파연구원의 심사를 거쳐 적합인증을 받야야 한다. 위해 우려가 다소 낮은 기자재의 경우 적합등록을 해야 하며 이후 중앙전파관리소가 불법 무선기기를 단속하는 구조다. 그러나 불법 품목이 아닌 통신장비가 가짜 기지국으로 악용되거나 부품별로 배송받아 국내에서 조립하는 경우 단속망을 벗어날 수 있는 상황이다.
박춘식 전 한국정보보호학회 회장은 “과거에는 연구소나 흥신소 등 일부 목적이 있는 곳에서 기지국 장비를 구매했지만 이제는 한국도 해킹 안전지대가 아닌 만큼 통신장비 관리 제도를 강화해야 한다”며 “통신사 차원의 기지국 ID 모니터링 강화, 스마트폰 단말기 자체적인 불법 기지국 차단 기능 추가 등도 필요하다”고 말했다.
양윤선 기자 sun@kmib.co.kr