KT 가입자 278명이 소액결제 피해를 입었으며, 변조된 펨토셀과 문자 인증 의존 구조가 보안 허점으로 지적됐다.
[이코노미 트리뷴 = Daniel Kim] KT는 최근 발생한 무단 소액결제와 관련해 278건의 피해와 약 1억7000만 원 규모의 피해액을 확인했다고 15일 밝혔다. 아울러 가입자 5561명의 IMSI(국제 이동 가입자 식별번호)에서 이상 징후가 발견돼 보호 조치를 진행 중이며, 정부와 경찰은 합동 조사에 착수했다.
KT의 초기 분석에 따르면 자사 관리 시스템에 등록되지 않은 기지국 ID 2개가 확인됐다. 해당 신호를 수신한 고객은 약 1만9000명으로 파악됐고, 이 가운데 5561명에게서 IMSI 노출 가능성이 식별됐다. 실제 결제 피해는 278건으로 집계됐다.
피해는 경기 광명, 서울 금천·영등포, 경기 부천 등 수도권 서남부에 집중됐다.
일부 단말기에서는 본인 동의 없이 모바일 상품권 구매나 교통카드 충전이 이뤄졌다.
이어 KT는 정밀 로그 분석을 통해, 통신사 관리 시스템에 등록되지 않은 해당 기지국 ID에 실제 단말기 접속 이력이 있었음을 확인했다고 밝혔다. 회사는 이를 변조된 펨토셀(가짜 기지국)로 의심하고, 동일 유형 신호에 대한 탐지·차단을 강화했다고 설명했다.
◇ 강한 신호 자동 접속, 변조된 펨토셀에 먼저 붙는다
이동통신 표준상 단말기와 네트워크는 서로를 인증하고 무선 구간을 암호화하지만, 기지국 장비(펨토셀) 내부에는 데이터를 읽기 위해 암호를 풀어내는 복호화 지점이 존재한다.
문제는 이 지점을 공격자가 악용할 수 있다는 점이다.
휴대전화는 원래 가장 강한 전파를 자동으로 잡는 특성을 갖고 있다.
범죄자가 정상 펨토셀보다 가까운 곳에 변조된 펨토셀(가짜 기지국)을 설치하면, 단말기는 강한 신호를 우선적으로 선택해 정상 기지국 대신 해당 장비에 접속하게 된다.
이 경우 기지국 내부에서 암호가 해제된 이후 구간에서 문자(SMS) 등 민감한 데이터가 노출될 위험이 커진다.
실제로 학계 연구에서도 펨토셀이나 가짜 기지국을 통해 SMS와 통화 트래픽이 가로채이거나 분석될 수 있다는 점이 확인돼 왔다.
여기에 국내 소액결제가 SMS·ARS 기반 일회용 인증번호(OTP)에 크게 의존하는 점이 겹치면서 위험은 더 커진다.
단말기가 변조된 펨토셀(가짜 기지국)에 접속한 상태에서 문자나 음성 인증에 의존하면, 원래는 이용자 휴대전화에만 도착해야 할 인증번호가 그 내부에서 노출·가로채일 가능성이 생기기 때문이다.
쉽게 말해, 결제 승인 과정에서 인증번호가 정상 경로를 거치지 않고 중간에서 탈취될 수 있는 구조적 취약점이 드러난 셈이다.
업계와 학계는 오래전부터 SMS를 2차 인증에 사용하는 것이 보안상 위험하다고 지적해왔다.
특히 인증번호가 중간에서 가로채이거나 전달이 지연될 수 있고, 통신사·카드사로 위장한 피싱 문자로 이용자를 속여 빼내는 등 다양한 공격에 노출될 수 있다는 점을 강조했다.
일부 업계에서는 KT가 이동통신 3사 중 가장 많은 펨토셀을 운영하는 것으로 보고 있으며, 그만큼 관리 체계에 허점이 생겼을 수 있다는 지적도 나온다.
전문가들은 “KT의 펨토셀 규모가 큰 만큼, 운영과 보안 관리 수준을 더욱 고도화해야 한다”고 강조했다.
◇ KT, 전액 보상·USIM 교체…방통위도 대응 나서
KT는 이번 사건과 관련해 피해 전액 보상과 함께 USIM 무상 교체, 이상 징후 고객에 대한 개별 안내를 진행하고 있다.
네트워크 측면에서는 미등록 기지국 ID를 상시 탐지하고 차단하며 의심 지역의 전파와 접속 이력을 면밀히 모니터링하기로 했다.
결제 보안 부문에서는 이상 거래를 사전에 차단하는 규칙을 확대하고, 인증 절차의 보안 등급도 한 단계 높여 적용한다는 방침이다.
정부와 경찰 역시 범행 수법과 조직적 개입 여부를 규명하기 위한 수사에 착수했다.
방송통신위원회는 피해 예방을 위해 △소액결제 한도를 축소하거나 해지할 수 있는 절차 △결제대행사와 이동통신사에 피해 사실을 신고하는 방법 △증빙자료 확보 및 경찰 신고 절차 등을 안내했다.
또 피해 보상을 빙자해 발송되는 스미싱 문자에 각별한 주의를 기울여야 한다고 당부했다.
daniel.economytribune@gmail.com