KT 소액결제 피해, 원인은 ‘불법 초소형 기지국’…IMSI 유출 정황도 확인
KT, 5561명 IMSI 유출 가능성 인정·전원 유심 교체 지원
정부, 민관합동조사단 ‘ARS 인증 악용 여부’ 규명 착수
KT 소액결제 피해의 핵심 원인이 불법 초소형 기지국인 것으로 드러났다. 또한, 피해자 단말이 불법 초소형 기지국에 위치 정보를 등록하는 과정에서 국제이동가입자식별번호(IMSI)가 외부로 흘러간 정황도 새롭게 확인됐다.
KT는 11일 광화문 사옥에서 연 소액결제 피해 관련 긴급 브리핑에서 “불법 기지국 신호를 수신한 고객은 약 1만9000명이며, 이 가운데 5561명의 IMSI 유출 가능성이 있다”며 사고 분석 결과를 발표했다. KT는 추가로 확인된 IMSI 유출 사실을 개인정보보호위원회에 신고했으며, 유출 가능 고객 전원에게는 무료 유심 교체와 유심 보호 서비스 가입을 지원하겠다고 밝혔다.
첫 이상 징후 놓쳐…결국 피해 발생
이번 사건은 9월 5일 새벽 KT가 자사 망에서 비정상적인 소액결제 트래픽을 탐지하면서 시작됐다. KT는 같은 날 오전 3시경 해당 트래픽을 차단했으나, 당시에는 단말 스미싱 감염으로 오판해 침해사고로 신고하지 않았다.
이후 피해 사례가 계속 접수되자 KT는 8일 오후 피해자 통화 기록을 전수 분석했고, 관리 체계에 등록되지 않은 기지국 아이디가 확인됐다. 같은 날 오후 7시16분 KT는 한국인터넷진흥원(KISA)에 침해사고를 정식 신고했고, 과학기술정보통신부와 한국인터넷진흥원(KISA)은 즉시 자료 보존을 요구한 뒤 오후 10시50분 KT 우면동 사옥을 방문해 현장 조사에 착수했다.
과기정통부는 사건의 중대성을 고려해 9일 민관합동조사단을 출범시켰다. 조사단은 정보보호네트워크정책관을 단장으로, KISA와 민간 전문가가 참여했다. 통신 3사에는 신규 초소형 기지국의 망 접속을 전면 차단하도록 지시했으며, SK텔레콤과 LG유플러스는 자체 점검 결과 이상이 없다고 보고했다.
피해 규모는 9월 10일 기준으로 확정됐다. KT는 피해자가 총 278명, 피해액은 약 1억7000만원으로 1인당 평균 54만원 수준이라고 밝혔다. KT는 11일 “추가 조사 과정에서 피해 고객이 수십명가량 늘어날 수 있다”고 덧붙였다.
결제 피해는 ARS 인증 우회, IMSI는 불법 기지국 통한 개인정보 유출
KT는 소액결제 피해와 IMSI 유출을 별개의 사안이라고 설명했다. 결제 피해는 상품권 결제 과정에서 자동응답시스템(ARS) 인증 절차가 우회되면서 발생했고, IMSI 유출은 단말이 정상 기지국이 아닌 불법 초소형 기지국에 위치 등록을 요청하는 과정에서 발생했다는 것이다. IMSI는 단말이 기지국에 가입자 정보를 전달할 때 송신되는 국제이동가입자식별번호로, 이 과정에서 IMSI가 외부로 유출된 정황이 확인됐다.
특히 소액결제 피해는 상품권 결제 과정의 자동응답시스템(ARS) 인증 단계에서 공격자가 절차를 가로채거나 악용하면서 발생했을 가능성이 높다는 것이 KT측 설명이다.
KT 관계자는 “IMSI 유출은 개인정보 유출 문제이고, ARS 인증 우회는 결제 절차의 취약점 문제”라며 “두 사안은 별개로 봐야 한다”고 설명했다. 이어 “ARS 인증을 어떤 방식으로 우회했는지는 내부적으로도 파악하지 못하고 있다”며 ”현재 경찰 수사가 진행 중”이라고 덧붙였다.
불법 소형 기지국, 개조·철거 잔존 장비 악용 가능성도 제기
또한, KT는 불법 초소형 기지국 장비가 악용됐을 가능성도 언급했다. 공격자가 불법 초소형 기지국 장비를 취득해 임의로 개조했거나, 기존 장비 일부를 변조해 코어망과 연동했을 가능성이 있다고 추정했다. 불법 초소형 기지국 장비의 실물은 아직 확보되지 않았다.
또 기존에 코어망에 연결됐던 기지국 장비가 철거되면서 관리 시스템에서만 삭제되고, 실물 장비는 남아 있었을 가능성도 있다고 설명했다. 이 경우 공격자가 해당 장비를 악용해 코어망에 접속을 시도했을 수 있다는 설명이다.
KT가 현재 운영 중인 15만7000대 초소형 기지국을 전수 점검한 결과, 모든 기지국은 정상적으로 동작하고 있는 상황이다. KT 관계자는 “불법 초소형 기지국 2대의 실체는 아직 확보되지 않았고, 경찰 수사와 합동조사단 분석 결과가 나와야 구체적인 공격 방식이 규명될 것으로 보인다“고 설명했다.
아울러, 지난 8월 알려진 김수키 문건에서 나온 KT 내부 인증키와 이번 사건의 관련성 여부에 대해서 KT 관계자는 “해당 문건에 포함된 내부인증서는 웹·도메인용 SSL 인증서와 개인키로, 사이트 신뢰성과 트래픽 암호화에 쓰이는 것”이라며 “기지국이나 코어망 접속 권한을 주는 내부 인증키와는 성격이 다르다”고 설명했다.
이어 “SSL 인증서는 웹사이트가 ‘안전한 사이트’임을 증명하고 사용자와 서버 간 트래픽을 암호화하는 역할을 한다”며 “망 접속 권한을 부여하는 통신망 내부 인증키와는 기능 자체가 달라, 이번 불법 초소형 기지국 사건과 SSL 인증서 유출 의혹은 직접적인 관련이 없다”고 일축했다.
KT, “유심 교체·보호서비스 제공”
KT는 이번 사건을 “고객 신뢰와 직결된 중대 사안”이라며 사과의 입장을 밝혔다. 김영섭 대표이사는 긴급 브리핑에서 “책임을 통감하며 재발 방지를 위해 최선을 다하겠다”고 강조했다.
현재 KT는 소액결제와 IMSI 유출 정황이 파악된 피해 고객에게 개별 연락을 취해 조치를 하고 있으며, 추가 피해 가능성이 있는 고객에 대해서도 전수 점검을 확대하고 있다. 특히 IMSI 유출 가능성이 있는 5561명에게는 무료 유심 교체와 유심 보호 서비스 가입을 지원한다. 충분한 유심 물량을 확보했으며, 불법 초소형 기지국과의 신호 수신 이력이 있는 1만9000명 고객 전체에도 동일한 서비스를 제공할 방침이다.
소액결제 관련 인증 절차도 강화한다. 오는 12일부터 휴대폰 소액결제를 통한 상품권 결제 시 문자·전화 인증을 전면 중단하고, 지문이나 핀 번호 입력이 필요한 패스(PASS) 앱 인증만 허용하기로 했다.
한편, 과기정통부는 민관합동조사단을 통해 불법 초소형 기지국 접속 경위, IMSI 유출 범위, ARS 인증 우회 여부를 정밀히 조사하고 있다. 류제명 과기정통부 제2차관은 10일 열린 관련 민관합동브리핑에서 “국민 피해 최소화를 위해 경찰과 긴밀히 협력하겠다”며 “통신망 관리 체계를 전면 점검해 재발 방지 대책을 마련하겠다”고 밝혔다.
류 차관은 “이번 사건은 KT에만 국한되지 않는다. SK텔레콤, LG유플러스 등 다른 통신사들도 동일한 점검 대상에 포함해 관리 체계와 초소형 기지국 운영 현황을 확인하고 있다”며 “통신 3사 전반의 보안 관리 실태를 점검해 재발 가능성을 차단하겠다”고 강조했다.
글. 바이라인네트워크
<곽중희 기자> god8889@byline.network
