KT가 11일 수많은 가입자를 불안에 떨게 한 무단 소액결제 사태의 원인을 두고 사상 초유의 '불법 초소형 기지국'을 통한 가입자 핵심 정보 유출이었음을 공식적으로 인정했다. 

단순한 해킹을 넘어 국가 통신망의 가장 근간이 되는 인프라가 외부 공격에 뚫렸다는 것을 의미하는 충격적인 사건이다. 

KT는 불과 두 달 전인 지난 7월 정보보호 분야에 5년간 1조원을 투자하겠다는 야심 찬 계획을 발표한 바 있다. 그러나 막대한 투자 계획 발표가 무색하게도 가장 기본적인 통신망 인프라에서 전례 없는 보안 사고가 발생하면서 KT의 위기관리 능력도 도마위에 오른 상태다. 

한편 김영섭 KT 대표는 직접 나서 고개 숙여 사과하며 피해 전액 보상과 총력 대응을 약속했다. KT의 신뢰회복 로드맵에도 시선이 집중된다.

김영섭 대표 사과
김영섭 대표는 서창석 네트워크 부문장 부사장 이현석 커스터머 부문장 부사장 등 주요 임원들과 함께 고개를 숙였다. 

김 대표는 “최근 발생한 소액결제 피해 사고로 고객 여러분께 크나큰 불안과 심려를 끼쳐드린 점 진심으로 사과드린다”며 “국민과 유관기관 여러분께 염려를 끼쳐 죄송하고 무엇보다 피해를 입으신 고객 한 분 한 분께 머리 숙여 죄송하다는 말씀을 드린다”고 밝혔다.

KT에 따르면 이번 논란은 단순 스미싱이나 서버 해킹이 아니었다. 

공격자들은 이동통신망의 허점을 파고드는 고도로 지능적인 수법을 사용했다. 실제로 자체 조사 결과 공격자는 불법으로 제작한 초소형 기지국, 즉 펨토셀을 특정 지역에 설치해 KT 가입자들의 휴대전화 접속을 유도했다. 그리고 이용자들은 자신의 단말기가 정상적인 KT 기지국이 아닌 범죄에 악용되는 가짜 기지국에 연결되고 있다는 사실을 전혀 인지하지 못한 채 통신망에 접속했고 이 과정에서 휴대전화 유심(USIM)에 저장된 고유 식별정보인 국제이동가입자식별정보(IMSI)가 탈취당했다.

IMSI는 전 세계 이동통신망에서 가입자를 유일하게 식별하는 번호로 금융 거래나 본인 인증 등 민감한 작업의 뿌리가 되는 핵심 정보다. 이것이 유출됐다는 것은 내 집의 현관문이 아니라 집 자체의 설계도가 통째로 넘어간 것과 비슷하다.

피해 규모도 상당하다. 구재영 KT 네트워크 기술본부장은 “올해 1년 치 통신 이력을 전수 조사한 결과 총 2개의 불법 초소형 기지국 ID를 발견했다”며 “이 불법 기지국 두 곳에 신호가 수신된 이력이 있는 고객은 총 1만9000여명으로 확인됐다”고 말했다. 

KT는 이 1만9000여명 중 IMSI 유출 가능성이 매우 높은 것으로 확인된 고객이 총 5561명에 달한다고 밝혔다. 그리고 이 사실을 확인한 즉시 11일 오후 개인정보보호위원회에 해당 내용을 신고한 것으로 확인됐다. 불과 하루 전인 10일 정부 합동 브리핑에서 "개인정보 유출 정황은 없다"고 밝혔던 입장을 뒤집은 것이다. 초기 대응의 혼선과 사태 파악의 미흡함을 스스로 인정한 셈이다.

한편 이번 사건을 두고 통신 보안의 패러다임을 근본적으로 바꿔야 한다는 목소리에도 힘이 실린다. 

지금까지의 사이버 공격이 주로 서버를 해킹해 데이터베이스를 탈취하거나 악성코드를 유포하는 디지털 공간의 문제였다. 그러나 이번 공격은 물리적인 장비(불법 기지국)를 이용해 통신망 자체를 기만하는 방식으로 이뤄졌다. 

은행 전산망을 해킹하는 것이 아니라 위조된 ATM 기기를 길거리에 설치해 고객들의 카드 정보를 빼내는 것과 유사하다. 눈에 보이지 않는 통신망에 대한 국민의 절대적 신뢰를 뿌리부터 흔드는 새로운 차원의 위협인 것이다.

특히 전문가들은 이번에 사용된 ‘펨토셀’이 원래는 통신 음영 지역 해소를 위해 사용되는 소출력 초소형 기지국이라는 점에 주목한다. 정상적인 장비가 언제든 범죄 도구로 둔갑할 수 있다는 사실이 확인된 이상 통신사들은 자사가 운영하는 수많은 기지국과 중계기에 대한 관리 감독 체계를 원점에서부터 재검토해야 할 필요가 있다. 

불법 기지국이 통신망에 접속을 시도할 때 이를 즉시 탐지하고 차단할 수 있는 이상 신호 모니터링 시스템을 고도화하는 것이 시급한 과제로 부상한 이유다.

신뢰회복 로드맵 가동
사태의 전말이 드러나자 KT는 뒤늦게나마 고객 피해 구제를 위한 전방위적 대응에 나섰다. 우선 소액결제 피해가 확인된 고객들의 청구 금액을 전액 면제 처리하고 추가 피해를 막기 위해 비정상 결제 자동 차단 시스템과 본인인증 절차를 대폭 강화했다. 

24시간 운영되는 전담 고객센터(080-722-0100)를 즉시 개설해 피해 신고 접수와 상담을 진행하고 있다.

가장 중요한 후속 조치는 IMSI 유출 가능성이 있는 5561명을 포함해 불법 기지국에 접속한 이력이 있는 1만9000명 고객 전원에게 유심을 무상으로 교체해주고 유심 보호 서비스 가입을 지원하기로 한 결정이다. 이미 정보가 유출된 유심을 계속 사용하는 것은 추가 범죄에 무방비로 노출되는 것과 같기에 근본적인 해결책을 제시한 것이다. 

KT는 전국 대리점과 온라인 채널을 통해 유심 교체가 신속하게 이뤄질 수 있도록 충분한 물량을 확보했다고 강조했다.

여전한 의문
KT의 신뢰회복 로드맵과 별개로, 이번 사태의 미스터리는 여전히 100% 풀리지 않고 있다. 무엇보다 공격자들이 탈취한 IMSI 정보를 이용해 "어떻게 복잡한 본인인증 절차를 뚫고 소액결제를 일으켰는가" 하는 궁금증이 커지고 있다. 

현재까지 알려진 바로는 주로 티머니 충전이나 상품권 구매에 범죄가 집중됐다. 하지만 티머니 충전의 경우 통신사 본인인증을 거쳐야만 가능해 해커가 피해자 명의로 피해자의 티머니를 충전해준 셈이 되어 직접적인 금전 이득을 취하기 어렵다. 상품권 역시 구매 후 현금화 과정에서 추적에 노출될 위험이 크다. 

제3의 시나리오를 검토해야 한다는 말이 나오는 배경이다. 해커의 최종 목표가 단순한 금전 탈취가 아니었을 가능성, 혹은 우리가 아직 파악하지 못한 새로운 현금화 수법이 존재할 수 있음을 시사하기 때문이다.

한편 "왜 KT만 표적이 되었는가"라는 의문도 풀어야 한다. 성창식 인사이트 경영 연구소 부소장은 "불법 기지국을 이용한 통신망 교란 공격은 이론적으로 모든 통신사에 위협이 될 수 있다"면서 "그럼에도 불구하고 유독 KT 가입자들에게서만 피해가 집중된 것은 이상한 일"이라 말했다.

KT 통신망의 특정 보안 취약점이나 기지국 관리 시스템의 허점이 존재했을 것이라는 합리적 의심이 나온다. 향후 진행될 민관합동조사와 경찰 수사에서 반드시 규명되어야 할 핵심 과제다. 현재 과학기술정보통신부와 개인정보보호위원회는 KT로부터 관련 자료를 넘겨받아 정밀 조사를 진행 중이며 경찰 역시 범죄 조직의 실체를 파악하기 위해 수사력을 모으는 것으로 알려졌다.