경기 광명 등 수도권 서남부 지역에서 발생한 ‘KT 소액 결제 해킹 사건’의 용의자 2명이 경찰에 붙잡혔다. 이들은 40대 중국인이었다. 경찰은 이들이 KT의 ‘초소형 기지국(펨토셀)’ 장비를 차량에 싣고 다니며 휴대전화를 해킹한 정황을 확인했다. 펨토셀은 빌딩 사무실 등 휴대전화가 잘 터지지 않는 곳에 설치하는 통신 장비다. 국내에서 펨토셀을 이용해 해킹을 벌이다 적발된 건 이번이 처음이다.
경기남부경찰청 사이버수사대는 지난 16일 오후 2시 3분쯤 인천국제공항에서 용의자 A(48)씨를 검거했다고 17일 밝혔다. 같은 날 오후 2시 53분쯤에는 공범 B(44)씨를 서울 영등포에서 체포했다.
A씨는 초소형 기지국 장비로 휴대전화를 해킹해 피해자들의 개인 정보를 빼낸 혐의를 받는다. 경찰은 A씨가 빼돌린 개인 정보를 이용해 모바일 상품권을 구입하거나 교통카드를 충전하는 등 소액 결제를 한 것으로 보고 있다. B씨는 A씨가 구입한 모바일 상품권 등을 현금으로 바꾼 혐의를 받는다.
이들은 중국 국적을 가진 ‘조선족’으로 국내에서 일용직 근로자 등으로 일한 것으로 파악됐다. 불법체류자는 아닌 것으로 조사됐다. IT(정보통신) 업종에 근무했는지는 확인되지 않았다고 경찰은 전했다.
A씨는 범행 직후 중국으로 출국했다가 다시 입국하는 과정에서 검거됐다. B씨는 현금화한 모바일 상품권을 추적해 붙잡았다고 한다.
A씨는 경찰에서 “범행 때 초소형 기지국 장비를 승합차에 싣고 피해 발생 지역을 다녔다”고 진술했다. 경찰은 A씨가 범행에 사용한 초소형 기지국 장비도 확보해 감식 중이라고 밝혔다. 경찰 관계자는 “감식을 통해 장비의 출처와 해킹 방법 등을 규명할 계획”이라고 했다.
KT 소액 결제 해킹 사건은 지난 8월 27일 경기 광명시, 서울 금천구에서 처음 불거졌다. 이후 9월 초 경기 부천·과천, 서울 영등포구, 인천 부평 등으로 확산했다. 자기도 모르는 사이에 휴대전화에서 수십만 원이 빠져나갔다는 신고가 잇따랐다.
경찰에 따르면, 지난 15일 기준 경찰에 접수된 피해는 총 199건, 피해액은 1억2600만원으로 집계됐다. 과학기술정보통신부와 KT는 지난 10일 피해 사례가 278건, 피해액은 1억7000만원이 넘는다고 발표했다.
KT는 지난 11일 “피해자들의 통신 기록을 분석한 결과 불법 초소형 기지국을 통해 이용자 개인 정보가 유출됐을 가능성이 있다”고 밝혔다. 당시 KT는 “불법 초소형 기지국 2개를 확인했으며 이 기지국 신호를 수신한 기록이 있는 휴대전화 이용자는 1만9000명으로 파악된다”고 했다. 실제 피해는 경찰에 접수된 것보다 더 클 수 있다는 것이다.
펨토셀은 통신사가 직접 관리하는 기지국과 달리 수가 많고 크기가 작아 관리 사각지대에 놓여 있다는 지적을 받아왔다. 철거할 때 ID(아이디)를 삭제하고 폐기해야 하지만 방치되는 경우가 많다는 것이다.
해킹 전문가들은 “이 장비를 불법 개조하면 휴대전화가 KT 기지국으로 인식해 접속한다”며 “반경 20~30m 안에 있는 KT 휴대전화의 통신 내역과 결제 인증 번호 등을 빼낼 수 있다”고 했다.
경찰은 이들이 어떻게 불법 펨토셀을 확보했는지, 소액 결제 과정에서 어떤 방식으로 본인 인증 절차를 무력화했는지 등을 조사하고 있다.
경찰 관계자는 “A씨와 B씨가 서로 모르는 사이라고 진술했다”며 “국내나 해외에 배후 조직이 있을 가능성을 염두에 두고 수사를 확대할 계획”이라고 했다. KT 측은 “경찰 수사에 적극 협조해 사건이 조속히 규명될 수 있도록 최선을 다하겠다”고 밝혔다.