경기도 광명에서 시작된 KT 소액 결제 피해가 눈덩이처럼 불어났다. 광명과 서울 금천구 등에서 시작된 피해 신고가 경기도 부천, 과천과 서울 영등포구, 인천 부평구 등 다른 지역에서도 잇따라 접수됐다. 피해 액수도 경찰에 접수된 것보다 배가 넘는 1억7000만원이 넘는 것으로 집계됐다. KT는 “지난 5일 이후 범죄에 사용된 것으로 추정되는 초소형 기지국의 통신망 접속 차단 조치가 이뤄져 새로운 피해는 발생하지 않을 것”이라고 했다. 하지만 KT는 사건 피해가 경찰에 처음 접수되고 나흘 만인 지난 5일에야 소액 결제 차단 조치에 나서 피해를 키웠다는 지적이 나온다.
과학기술정보통신부와 KT는 10일 정부서울청사에서 언론 간담회를 열고 이날까지 KT 소액 결제로 인한 피해 사례가 278건, 피해 액수는 1억7000만원으로 집계됐다고 밝혔다. 앞서 경기남부경찰청 사이버수사대는 지난달 27일부터 지난 9일 오후 6시까지 경찰에 접수된 피해액이 약 8060만원이라고 밝혔었다. 그런데 KT가 파악한 실제 피해 액수는 배 이상이었다. 피해자는 모두 KT 가입자였고 KT 통신망을 이용하는 알뜰폰 가입자도 일부 피해를 본 것으로 알려졌다.
이번 사건과 관련해 경찰 등은 범죄 조직이 특정 지역에 KT 이동통신 기지국으로 위장한 ‘펨토셀(Femtocell)’ 장비를 설치해 KT 가입자들의 개인 정보를 빼내고 이를 이용해 소액 결제를 했을 가능성을 수사 중이다. ‘펨토셀’은 가정이나 사무실 등 전파가 약한 지역의 통신 품질을 높이기 위해 설치되는 초소형 기지국 장비다. 그러나 보안 관리가 허술할 경우 해커가 데이터를 가로채는 통로로 악용될 수 있다는 우려가 제기돼 왔다.
피해자들에 따르면 새벽 시간대에 카카오톡 등 메신저가 로그아웃 된 다음 소액 결제로 문화상품권 등이 수십만 원에서 많게는 100만 원 가까이 결제된 사례가 많았다. 해킹 조직이 가짜 기지국을 통해 빼낸 피해자들의 개인 정보를 이용해 대포폰 등 다른 기기에서 소액 결제에 필요한 본인 인증 절차를 거쳤을 가능성이 있다는 것이다. KT에 따르면 이번 소액 결제 피해에서 뚫린 인증 절차는 대부분 ARS(자동 응답 시스템) 인증이었다고 한다. 일부 피해자는 모바일 상품권이 충전됐고, 교통카드가 결제된 경우도 있었다. 피해자 누구도 악성 앱을 설치하거나 의심스러운 인터넷 주소 등에 연결한 사실이 없다고 경찰에 진술했다고 한다. 범죄는 지난달 27일 시작돼 지난 5일까지 열흘 가까이 계속됐다. 피해는 광명시 소하동·하안동, 서울 금천구 가산동·독산동 등에 집중됐다.
이번 사건은 범행 수법이 해외 유사 사례와 비교해 훨씬 고도화했다고 전문가들은 말한다. 그동안 해외에선 가짜 기지국을 이용해 인근 주민들에게 사기성 문자메시지를 대규모로 보내는 범행이 심심찮게 있었다. 하지만 이번 사건에선 통신사 고객 개인 정보를 빼내 소액 결제를 하는 등 재산 피해가 실제로 발생했다. KT는 “불법 기지국으로 개인 정보를 빼낸 것과 소액 결제 인증을 뚫은 것은 별도의 공격일 가능성이 크다고 보고 있다”고 했다.
범행 주체를 두고 북한 소행설, 중국계 범죄 조직설 등 외부 공격 가능성이 거론된다. 앞서 미국의 보안 전문 매체 프랙은 최근 북한 정찰총국 소속으로 추정되는 해커 조직 김수키가 KT와 LG유플러스를 해킹했다는 의혹을 제기했다. 이런 상황에서 KT 소액 결제 피해까지 잇따라 일어난 것이다. 개인정보보호위원회는 이번 사건과 관련해 KT와 LG유플러스에 대한 조사에 착수했다고 이날 밝혔다. 다만 KT는 “소액 결제 피해와 김수키의 해킹 의혹은 직접적 연관이 없고, 김수키 등 해외 조직으로부터 내부 서버가 해킹을 당한 정황도 발견되지 않았다”고 했다.
사태 초기 KT의 대응을 두고는 논란이 일었다. 경찰은 소액 결제 피해 신고가 여러 차례 접수되자 지난 1일 KT 측에 이를 통보했다. 하지만 KT가 소액 결제 차단 등 조치에 나선 것은 나흘이 흐른 지난 5일이었다. 한국인터넷진흥원(KISA)에는 지난 8일에야 사이버 공격을 당했다고 신고했다. 경찰에 따르면 KT는 당시 경찰의 통보에 ‘소액 결제 해킹이 가능하겠느냐’는 반응을 보인 것으로 전해졌다. KT는 “내부 서버에 대한 직접적인 해킹 정황이 발견되지 않아 피해 상황이나 수법 등을 확인하는 데 시일이 걸렸다”고 했다.