KT, 피싱 인줄 알았는데 신종 해킹으로 확대…전문가 "시나리오 재점검 필요"

서버 침입 없었지만 불법 초소형 기지국으로 KT 이용자 개인정보 빼내

유심정보 유출 정황 확인 후 개인정보보호위원회에 신고

 

김영섭 KT 사장을 비롯한 임직원들이 11월 서울 종로구 KT 광화문빌딩 웨스트 사옥에서 최근 발생한 소액결제 피해와 관련해 고개 숙여 사과하고 있다. [사진=연합뉴스]

KT 소액결제 피해 사건이 불법 초소형 기지국을 이용한 신종 해킹 사건으로 확인되며 이동통신 사용자들의 불안감이 커지고 있다. SK텔레콤(SKT)과 달리 금융 피해로 확산하며 전문가들은 이론상 존재하는 모든 종류의 사이버 범죄 시나리오를 점검하고 이에 대비할 필요가 있다고 말한다. 

11일 보안업계가 이번 KT 소액결제 사건을 놓고 또 다른 형태의 개인정보 유출 시도라고 평가하고 있다. KT 서버에서 직접 데이터를 빼 낸 것은 아니지만 불법 초소형 기지국 설치를 활용해 네트워크를 해킹하고 개인 휴대폰에 접속한 뒤 인증망도 추가로 뚫어 소액결제로 갈취했기 때문이다.

올해 초 SK텔레콤 유심칩 해킹 사태 당시 과학기술정보통신부는 민관합동조사단을 꾸려 SKT뿐 아니라 KT와 LG유플러스 역시 전수 조사에 착수했다. 당시 KT와 LG유플러스는 특이사항 없음으로 결론 났지만 5개월여 만에 김수키 해킹 사태 가능성과 함께 신종 소액 결제 스미싱 범죄가 발생했다. 

보안업계는 사이버 범죄를 저지르는 해커들이 최신 기술을 동원하고 있어 이동통신 시스템 구조를 점검해 대응책 마련을 위한 시나리오를 세울 필요가 있다고 말한다.

이기혁 중앙대 융합보안학과 교수는 "해커의 기술을 막으려고만 하지 말고 왜 취약점이 생겼는지, 시스템 구조에 문제는 없는지 등 본질적인 원인을 파악하고 해결해야 한다"면서 "펨토셀 시나리오를 적용해 대책을 마련한대 해도 소액결제에 필요한 추가 개인정보를 어떻게 얻었는지 설명이 안 되고 있다. 전체적으로 시나리오 점검해야 한다"고 말했다. 

KT는 지난 1일 수사기관에서 소액결제 피해 분석 의뢰를 접수하며 사태를 인지했다. 그러나 당시에는 단순 스미싱 피해로 판단해 즉각적 공시에 나서지 않았다.

KT 관계자는 "1일 수사기관 협조 요청을 받았을 당시 개별 스미싱 피해 사례로 보고 대응했지만 특정 지역에서 유사 민원이 잇따르면서 심각성을 인식했다"며 "정밀 분석 끝에 비정상적 통신 패턴을 확인하고 지난 5일 새벽 긴급 차단에 나섰다"고 설명했다.  

이후 7일에는 소액결제 한도 100만원에서 10만원으로 축소해 추가 피해 확산을 막았다. 

KT는 8일에는 한국인터넷진흥원(KISA)에 침해 사고를 신고했다. 과학기술정보통신부는 9일 민관합동조사단을 꾸려 관련 조사에 착수했으며 10일 브리핑에서 당시까지 확인된 피해는 총 278건, 피해 규모는 약 1억7000만원에 달한다고 밝혔다. 

KT는 이날 광화문 웨스트 사옥에서 열린 브리핑에서 "불법 기지국 신호를 수신한 고객은 약 19만명이며 ISMI 유출 정황이 확인된 고객은 5561명"이라고 설명했다. 또 피해 가능성이 있는 19만명 전원에 대해 유심(USIM) 교체를 지원하겠다고 밝혔다. 

이날 IMSI 유출 정황을 확인되자 KT는 개인정보보호위원회에 신고했다. 개인정보위 측은 이번 건이 '늑장 신고'에 해당하는지 아직 단정하기 어렵다는 입장이다. 

개인정보위 측은 "개인정보 유출 시점을 조사해봐야 판단할 수 있을 것"이라고 말했다. 개인정보보호법에 따르면 사업자는 개인정보 유출을 인지한 시점으로부터 72시간 내에 신고해야 한다. 결국 KT가 언제 이를 인지했는지가 쟁점이 될 전망이다. 

김영섭 KT 대표는 이날 서울 광화문 사옥에서 소액결제 피해 사고 관련 기자간담회를 열고 “지난 8일 KISA에 비정상적 소액 결제 시도 관련 침해 사고를 신고하고, 관계 당국과 함께 사고 원인을 파악 중”이라며 “회사와 임직원의 모든 역량을 투입해 추가 피해가 발생하지 않도록 기술적 조치를 취했고, 피해 고객들께는 100% 보상책을 강구하고 조치하겠다”고 말했다