KT 휴대전화 무단 소액결제 사건과 관련해 경찰이 과거 군부대에 설치됐다가 유실된 KT 펨토셀 인증서가 범행에 사용된 정황을 토대로 중국에 거점을 둔 상선을 추적하며 수사를 이어가고 있다. 이 사건으로 피해자는 200여 명, 피해액은 1억여 원으로 집계된 가운데 경찰은 상선을 인터폴에 수배하는 한편, KT에 대한 수사도 병행하고 있다.
경기남부경찰청 사이버수사과는 수도권 일대에서 발생한 KT 휴대폰 부정 결제 다중 피해 사건과 관련해 총 13명(구속 5명, 불구속 8명)을 검거하고, 이 중 11명을 검찰에 송치했다고 29일 밝혔다. 상선을 포함한 피의자 2명은 수배 중이다.
경찰에 따르면, 이들은 올해 8월부터 9월까지 경기 광명·과천·부천·고양, 서울 금천·동작·서초·영등포, 인천 등 9개 지역에서 불법 기지국(펨토셀)을 차량에 설치해 운행하며 휴대전화 소액 결제를 가로챈 혐의를 받는다. 현재까지 접수된 피해자는 227명, 피해액은 약 1억4500만원이다. 과학기술정보통신부는 피해자가 368명, 피해액이 2억4300만원이라고 발표했다.
경찰은 지난 9월 16일 인천공항 입국장에서 불법 기지국을 차량에 설치해 운용한 40대 A씨를 검거했고, 같은 날 평택항 인근에서 중국으로 반출되던 범행 장비를 확보했다. 확보된 장비는 펨토셀과 라우터, 지향성 안테나 등 31점이다. 실제 범행에는 옥외형 펨토셀 1점과 라우터 2점이 사용됐다고 한다.
수사 결과, 장비는 여러 단계를 거쳐 전달됐다. 장비 운용을 담당하던 50대 B씨는 상선의 지시를 받아 장비를 전달받은 뒤, 본인이 섭외한 30대 C씨를 통해 서울 전역에서 시험 운영했으나 작동 불량으로 중단한 것으로 조사됐다. 경찰은 이들이 지난해 5월에도 동일한 수법으로 범행을 시도했다가 실패한 전력이 있다고 보고 있다. 당시에도 차량에 불법 기지국을 싣고 이동하며 휴대전화 접속을 유도하는 이른바 ‘워 드라이빙’ 수법이 사용된 것으로 파악됐다.
이후 장비 일부는 운반책을 통해 중국으로 반출됐고, 남은 장비는 다시 국내에서 또 다른 장비 운용 담당인 D씨를 거쳐 A씨에게 전달됐다. 범행에 사용된 노트북과 휴대전화는 사건 직후 중국으로 넘어가 현재 확보되지 않은 상태다.
경찰이 불법 펨토셀을 정밀 분석한 결과, KT 인증서와 인증 서버 IP, 범행에 사용된 셀 ID, 관리자 접속 기록 등이 다수 확인됐다. 해당 인증서는 2019년 경기북부의 한 군부대에 설치됐다가 2020년 막사 이전 과정에서 유실된 KT 펨토셀의 것으로 드러났다. 경찰은 상선이 유실 장비를 불법적으로 입수해 저장된 인증서를 그대로 활용한 것으로 보고 있다.
KT가 자체 전수 조사에서 발견한 불법 펨토셀 ID 20개에 대해서도 경찰이 접속 기록을 분석한 결과, 이 중 7개는 이번에 확보한 불법 기지국과 직접 연동된 것으로 파악됐다. 나머지 셀 ID 역시 시험 운영 정황과 교차 접속 기록이 발견돼 모두 동일 조직의 범행으로 경찰은 판단했다.
경찰은 범인들이 무단 소액 결제에 필요한 가입자 개인 정보를 언제, 어디서 확보했는지도 핵심 쟁점으로 보고 있다. KT가 2022년부터 지난해까지 BPF도어(BPFDoor) 악성 코드 공격을 받았을 당시 외부로 유출된 정보를 범인들이 입수했을 가능성도 제기되고 있으나, 경찰은 두 사건 간의 직접적인 연관성에 대해서는 확인이 어렵다는 입장이다.
경찰은 불법 기지국을 직접 운용한 A씨를 포함해 장비 운용조 5명, 자금 세탁조 3명, 대포폰 명의 제공자 5명 등 총 13명을 검거했다. 해외에 있는 상선은 신원을 특정해 인터폴 적색 수배를 요청했다. 중국으로 출국한 또 다른 피의자에 대해서도 수배 및 입국 시 통보 조치를 내렸다.
한편 경찰은 KT가 해킹 사고 처리 과정에서 서버를 폐기해 증거를 은닉했다는 의혹에 대해서도 수사 중이다. 경기남부경찰청 반부패·경제범죄수사대는 지난달 19일 KT 판교·방배 사옥 등 3곳에 대해 압수수색을 벌이고, 사고 대응 과정에서 서버를 고의로 폐기한 정황이 있는지 확인하고 있다.
경찰은 이 사안의 총괄 책임자로 지목된 황태선 KT 정보보안실장을 위계에 의한 공무집행방해 혐의로 입건한 것으로 알려졌다. 이번 압수수색은 미국 보안 전문 매체에서 KT 서버 해킹 가능성을 제기한 이후 서버가 폐기됐다는 의혹과 관련해 과학기술정보통신부가 수사를 의뢰하면서 이뤄졌다.
