KT 소액결제 사고, 무엇이 밝혀졌나…현재 대응 방법은?
[IT동아 김예지 기자] KT에서 발생한 대규모 소액결제 사고가 발생한 지 열흘이 넘었다. 일명 ‘유령 기지국’으로 불리는 불법 초소형 기지국 접속 정황과, 일부 고객의 가입자 식별번호(IMSI) 유출 정황이 확인됐다. 그러나 아직 원인과 목적이 명확히 규명되지 않았다. IMSI는 통신사가 사용자를 식별하기 위한 유심(USIM) 내 저장하는 정보로, 지난 4월 SKT 유심해킹 사고에서도 유출돼 문제가 된 바 있다.
우리나라에서 이러한 방식의 사이버 공격이 이뤄진 것은 처음인 탓에 통신 서비스에 대한 이용자들의 불안감은 여전히 높은 상황이다. 정부는 민관합동 조사에 착수했고, KT는 피해 확산을 막기 위해 소액결제 차단 수단을 제공하고 있다.
소액결제 사고, 피해 규모는?
경찰 조사에 따르면, 소액결제 피해 최초 신고는 지난달 27일이다. 경기 광명, 서울 금천·영등포구 일대에서 KT 망을 이용하는 일부 가입자들이 자신도 모르게 모바일 상품권 구매, 교통카드 충전 등 소액결제가 발생했다고 신고했다. 류제명 과학기술정보통신부 제2차관은 11일 KT 고객 무단 소액결제 침해사고 관련 브리핑에서 “현재까지 KT와 알뜰폰 포함 전체 피해는 최소 278건, 피해액은 약 1억 7000만 원으로 집계됐다”고 밝혔다.
KT는 9월 5일 오전 3시부터 이상 호 패턴을 인지하고 해당 트래픽을 차단했으나, 당시 스미싱 감염으로 판단하여 침해 사고로 신고하지 않았다. 이후 8일 오후 미등록 기지국 접속을 확인, 한국인터넷진흥원(KISA)에 침해 사고를 신고했다.
유령 기지국의 정체는?
조사 초기, 피해 단말기가 KT 망에 등록되지 않은 불법 초소형 기지국(펨토셀)에 접속한 것으로 확인됐다. KT는 “피해자의 통화 패턴을 분석해 KT 망에 존재하지 않는 특정 기지국 ID를 확인하고 이를 차단했다”고 밝혔다. 펨토셀(Femtocell)은 가정이나 공공장소에 설치하는 손바닥 크기의 초소형 이동통신 기지국으로, 전파 음영지역을 해소하고 데이터 트래픽을 분산하는 역할을 한다. 펨토셀은 단순히 신호를 전달하는 중계기와 달리 별도의 신호를 생성하며, 통신사의 코어망에 직접 연결된다.
그러나 KT는 11일 광화문빌딩에서 열린 기자 브리핑에서 이 불법 기지국이 기존 KT에서 사용하던 장비로 추정된다는 사실을 밝혔다. KT는 “초소형 기지국의 실물을 본 것은 아니며 경찰 수사 중”이라면서 “소액결제 피해 고객들의 과금 내역 중 기지국 ID를 보고 기존에 KT 망에 연결된 적이 있는 장비로 추정했다. 실물이 확보되면 정확한 경위를 알 수 있을 것”이라고 말했다.
이에 따라 불법 기지국이 KT 망에 접속해 인증 절차를 거칠 수 있었던 것으로 추측된다. KT는 “실제 운영 중인 장비는 관리 체계가 정립되어 있고, 관리 시스템에 없는 장비는 개통되지 않도록 조치했다”며, “이번에 발견된 장비는 제품 도용 가능성을 분석하고 있다”고 밝혔다.
개인정보 유출 가능성 확인
사건 초기 KT는 개인정보 해킹 정황은 없다고 발표했지만, 불법 초소형 기지국을 통한 개인정보 유출 가능성이 있는 정황을 확인하고, 11일 오후 개인정보보호위원회(이하 개인정보위)에 유출 가능성을 신고했다고 밝혔다. 구체적으로 알뜰폰 포함 KT 고객 5561명의 IMSI 정보가 유출 가능성이 있다고 판단했다. 이에 대해 KT는 “유출된 건은 실제 과금 시도가 있었던 것이 아니라, 불법 초소형 기지국의 신호를 한 번이라도 잡은 사람을 모두 포함한 것”이라고 말했다.
KT에 따르면, 이번에 문제가 발생한 시스템은 LTE다. 5G 보안 아키텍처는 IMSI를 사용하지 않지만 LTE는 고객이 단말기 전원을 껐다가 켜면 기지국에 IMSI를 전송하고, 임시 식별번호(GUTI)를 발급받아 통신한다. KT는 “불법 기지국 신호에 노출된 1만 9000여 명 중 5561명을 제외한 나머지는 GUTI만 노출됐고, IMSI가 노출되지 않았다. 3G 피해는 없었다”고 말했다.
아직 의문인 부분은?
통신 장치가 해킹되어 트래픽이 탈취되고, 무단 결제로 이어진 정황이 드러났지만 여전히 의문점이 존재한다. 실제 소액결제를 진행하려면 ARS 인증 시 이름, 생년월일, 주민등록번호 등 개인 정보를 입력해 본인인증 절차를 거쳐야 하는데, 이는 불법 기지국을 통해서는 유출될 수 없는 정보이기 때문이다.
KT는 아직 명쾌한 답을 내놓지 못했다. 11일 브리핑에서 “미등록 장비가 코어망에 어떻게 접속했는지, 접속을 했더라도 여러 키값이나 인증 절차들이 있는데 소액결제가 어떤 메커니즘으로 이뤄졌는지 확인이 필요하다”며, “앞으로 철저히 조사할 예정”이라고 말했다.
KT, 대고객 사과 및 보호 조치 발표
KT는 고객 추가 피해 방지를 위해 비정상 결제를 자동 차단 및 본인 인증 수단을 강화하며, 지속적인 모니터링을 수행하고 있다. KT는 “이상 유형의 소액결제 시도 자체를 막고 있어 현재는 안전하다”고 말했다. 또한 무단 소액결제로 인한 피해 금액 전액에 대해서 청구하지 않기로 했다. KT는 “고객 보호와 재발 방지를 위해 신속한 지원과 합당한 보상 절차 마련에 총력을 기울이겠다”며, “카카오톡, 당근 등에 무단 로그인이 발생하는 2차 피해를 인지했고, 다른 접근 제한 기능을 강화하겠다”고 덧붙였다.
KT는 피해 사실을 마이케이티 앱과 KT닷컴에 게시했다. 특히 IMSI 유출 가능성이 있는 고객 5561명에게는 문자 메시지(SMS)로 개인정보위 신고 사실 조회, 유심 교체 신청, 유심 보호서비스 가입 링크에 대해 개별 안내했다고 밝혔다. 이들 고객은 KT 온라인 채널과 고객센터, 전국의 KT 대리점을 통해 유심 교체가 가능하다. KT는 “충분한 유심 물량을 확보했다”고 덧붙였다. 한편, KT는 지난 7월 보안 전략으로 5년간 1조 원을 투자하겠다고 밝힌 바 있다. 이에 대해 KT는 “이번 사태를 계기로 증액 계획을 밝히지 않았지만 투자의 우선순위를 조정해 보겠다”고 말했다.
과기정통부는 민관 합동조사단을 구성해 정밀 조사를 진행하고 있다. SKT와 LG유플러스에도 불법 기지국의 존재 여부를 파악하도록 요청했으며, 양사는 11일 긴급점검회의에서 불법 기지국이 발견되지 않았음을 보고했다. 또한 과기정통부는 타 통신사에게도 동일한 유형의 피해 발생 시 피해 금액을 청구하지 않도록 요청했고, 양사는 이를 수용했다.
개인정보위는 11일 ‘개인정보 안전관리 체계 강화 방안’을 발표했다. 여기에는 보안 기술 보완책과 더불어 사고가 반복되는 기업에 대해 과징금을 가중한다는 내용이 포함됐다. 개인정보보호법 위반에 따른 과징금을 실제 유출사고 피해자 구제에 활용하는 방안도 마련한다. 또한 ▲개인정보보호 관리체계(ISMS-P)의 현장심사 중심 인증 강화 방안 ▲개인정보 보호 분야 예산 투자 구체적 기준 제시 및 인센티브 제공 ▲개인정보 보호 책임자 지정 신고제 등 방안도 추진된다.
소액결제 원천 차단하려면?
KT 고객은 마이케이티 앱과 KT닷컴에서 소액결제 차단 또는 한도 조정을 신청할 수 있다. 또한 로그인하여 IMSI 유출 대상 여부를 확인할 수 있다. KT는 피해 확산 방지를 위해 세 가지 차단 방안으로 ▲일반 차단(소액결제 한도를 0원으로 낮춰 이용 불가 처리) ▲이차 인증 강화(결제 시 비밀번호·지문 등 생체 인증 추가 적용) ▲원천 차단(휴대전화 번호 자체로 소액결제를 전면 차단) 등을 제시했다. 한편, 이번 건은 명의도용방지서비스와는 관련이 적다.
예컨대, 마이케이티 앱에서는 ‘마이>요금/서비스>요금조회>휴대폰결제 내역’으로 이동하면 된다. 이용 중단(이용동의 철회)은 앱에서 바로 가능하다. 이차 인증 강화는 고객센터(114)에서 비밀번호서비스(ARS 안심인증)를 무료 신청하면 된다. 소액 결제를 원천 차단하려면, 명의자 본인이 24시간 전담 고객센터(080-722-0100)에 연락해야 한다. 이는 영구 해제가 불가하나, KT는 이번 사고를 고려해 향후 해제 방안을 별도 마련할 예정이다. 또한 고객은 개인정보 악용이 의심되는 전화·메시지 등을 수신하거나 소액결제 관련 문의 및 피해 신고를 할 수 있다.
IT동아 김예지 기자 (yj@itdonga.com)
