KT 소액결제 피해, 개인정보 어떻게 유출됐을까

By곽중희

기존 유출 정보와 결합 또는 펨토셀 인증문자 탈취·조직적 공격 가능성 제기

KT 소액결제 피해가 서버 침해에 대규모 개인정보 유출까지 확산되면서 소액결제에 필요한 개인정보의 유출 경로에 관심이 쏠리고 있다. 경찰은 불법 ‘초소형 기지국(펨토셀)’을 차량에 싣고 다니며 범행을 저지른 범인들을 체포했으며, KT는 2만명이 불법 펨토셀 신호를 수신한 사실을 확인했다. 현재까지의 소액결제 피해 고객은 362명, 피해액은 2억4000만원으로 집계된다.

하지만 문제는 펨토셀만으로는 소액결제에 필요한 이름·생년월일·전화번호 등 개인정보 확보가 쉽지 않다는 점이다. 전문가들은 펨토셀을 통한 인증문자·음성 탈취와 기존에 유출된 개인정보가 결합됐을 가능성을 높게 보고 있다.

소액결제, 펨토셀만으로는 부족…개인정보 어디서 유출됐나? 

전문가들은 펨토셀이 이번 사건에서 악용된 점은 분명하지만, 펨토셀만으로 결제에 필요한 모든 정보 탈취를 설명하기는 어렵다고 본다.

김승주 고려대학교 정보보호대학원 교수는 일부 언론과의 인터뷰에서 이번 사건의 핵심을 ‘유출된 개인정보의 출처가 어디냐’가 중요하다고 짚었다. 그는 소액결제에 반드시 필요한 정보로 이름, 생년월일, 전화번호를 꼽으며 “펨토셀 자체는 인증 과정 일부만 노출시킬 수 있기 때문에, 원천 개인정보가 어디서 유출됐는지를 봐야 한다”고 설명했다.

김 교수는 지난 8월 해외 보안전문지 프랙(Phrack)이 공개한 정부·공공기관 해킹 정황을 주목했다. 프랙 문건에 따르면, 정부의 온나라 시스템(지방자치단체·공공기관의 업무관리·행정업무용 통합 전산망), 각종 공문서·보고서·회의자료가 침해됐고, 심지어 정부 공인인증서(GPKI) 관련 자료까지 유출 정황이 있었다. 여기에는 KT의 도메인용 인증서와 개인키가 유출된 정황도 포함됐다.

김 교수는 “이런 정보가 실제로 해커들에게 넘어갔다면, 소액결제에 필요한 개인정보는 이미 대량으로 확보됐을 수 있다”며 “그렇다면 이번 사건은 단순한 통신사 보안 사고가 아니라 국가적 차원의 위기”라고 경고했다.

그는 또 이번 사건을 단순히 KT만의 문제로 한정하지 않고, 정부·공공기관 시스템에서의 취약점과 관리 부실을 점검해야 한다고 강조했다. 즉 펨토셀이 결제 인증을 가로챘더라도, 그것을 성공시키는 데 필요한 기초 개인정보는 이미 다른 경로에서 확보됐을 가능성이 크다는 것이다.

김 교수는 “이 같은 내부 자격증명까지 해커 손에 넘어갔다면, 단순한 결제 피해를 넘어 통신 인프라 전반에 심각한 위협이 될 수 있다”며 전사적 점검과 대응 체계 정비의 필요성을 강조했다.

또 다른 보안 전문가인 곽진 아주대학교 정보보호학부 교수는 “펨토셀로 얻을 수 있는 정보는 한정적이기 때문에, 실제 소액결제에는 이미 유출돼 있던 다른 개인정보 DB가 결합됐을 것”이라고 설명했다.

곽 교수는 “프랙 문건에 나온 KT 내부인증키 유출 정황과 충분히 연관이 있을 수 있다”며 “문건에서도 나왔듯 이번 사건은 하루 이틀 만에 이뤄진 게 아니라, 오랜 기간 준비된 전문 해커의 조직적 공격일 가능성이 크다”고 강조했다. 그는 특히 ARS 인증이 피해자 모르게 우회된 정황에 주목했다. 그는 “ARS 인증이 탈취돼 피해자에게는 정상적인 알림이 전달되지 않았다는 점은, 단순히 구형 펨토셀만으로는 설명이 어렵다”며 타깃을 삼고 오랫동안 고민한 고도화된 공격 시나리오 가능성에 무게를 실었다.

실제로 프랙 문건은 공격 과정에서 사용된 도구·명령어 체계가 과거 중국계 해커들의 활동 패턴과 유사하다는 점을 근거로, 해당 해커가 중국 배후의 해커 조직일 가능성을 제기했다. 공격 과정에서 사용된 도구·명령어 체계, 유출된 자료의 활용 방식 등이 과거 중국계 해커들의 활동 패턴과 유사하다는 분석이다. 경찰 조사에서도 체포된 용의자는 “중국의 윗선의 지시에 따라 움직였다”는 진술을 내놓기도 했다.

‘사전 유출 정보‘와 ‘펨토셀 탈취 인증문자‘, 결합 가능성도

김용대 카이스트 전기전자공학부·정보보호대학원 겸임교수는 이번 사건의 수법을 구체적으로 분석하며 “해커들이 기존에 유출된 이름·전화번호를 확보하고, 구형 펨토셀을 악용해 인증문자나 ARS 음성을 가로챘을 가능성이 있다”고 설명했다.

김 교수는 특히 ‘코너 케이스’라는 부분을 강조하며, 표준적으로는 암호화가 적용되는 통신망에서도 특정 단말·구형 장비 조합에서는 암호화가 풀리거나 적용되지 않는 예외적 상황이 존재할 수 있다고 지적했다. 이 경우 인증문자가 평문으로 노출돼 해커가 쉽게 획득할 수 있다는 것이다.

그는 범인들이 루팅(리눅스·안드로이드 같은 운영체제에서 ‘최고 관리자 권한(root)’을 얻는 행위)한 펨토셀을 와이파이 에그·배터리에 연결해 차량에 싣고 다니며 특정 지역 단말을 붙게 만든 뒤, 인증문자 패킷을 수집하고 사전에 확보한 데이터베이스(DB)와 대조했을 가능성도 있다고 분석했다.

김 교수는 검거 시나리오에 대해서는 “펨토셀을 이동식 도청 장비처럼 운용한 것이, 범행 흔적이 CCTV 동선과 차량번호로 남아 결국 검거 단서가 됐을 가능성이 있다”고도 덧붙였다.

학계도 이미 경고 펨토셀 해킹 시, 문자·음성·식별자 등 정보 유출 가능

전문가들의 분석과 별개로, 학계에서는 이미 오래전부터 펨토셀의 구조적 취약성과 이로 인한 개인정보 유출 가능성에 대해 경고해 왔다. 2016년 김재기·신정훈·김승주 교수가 발표한 ‘위협 모델링 기법을 이용한 펨토셀 취약점 분석’ 논문은 이번 사태와 맞닿은 위험을 이미 지적했다.

연구진은 펨토셀이 해킹되면 ▲SMS 본문 전체(인증번호·전화번호·이름 등) ▲ARS 음성·통화 데이터 ▲단말 식별정보(IMEI·IMSI 등) ▲관리자 계정·설정 파일(자격증명·암호화 키) 등이 노출될 수 있다고 분석한 바 있다.

해당 연구에서는 기본 비밀번호가 그대로 노출되거나 암호화 키가 평문으로 저장된 사례가 발견됐으며, 또 ‘tcpdump(네트워크 패킷을 수집·분석하는 오픈소스 도구)‘ 등을 이용해 문자·음성 패킷을 직접 수집하는 것이 실제 가능하다는 점도 확인됐다. 이 논문은 펨토셀이 단순한 통신 음영 해소용 장비가 아니라, 잘못 관리될 경우 강력한 도청 장비가 될 수 있음을 보여준다.

이번 사건에서 남은 쟁점은 ▲개인정보 유출의 정확한 경로 ▲펨토셀에서 암호화가 무너진 구체적 이유 ▲ARS 인증 우회 방식 등이다.

현재 경찰과 민관 합동 조사단이 압수된 펨토셀 장비와 침해 정황을 정밀 조사 중이며 개인정보보호위원회도 구체적인 개인정보 유출 경위를 조사하고 있는 만큼, 각 기관의 분석 결과가 정보 유출 경로의 실체를 가르는 분수령이 될 전망이다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network

사람을 위한 보안을 취재합니다. 끝까지 배우며 글로 나아가겠습니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.