KT 가입자의 소액결제 피해가 확대되는 가운데, 불법 초소형 기지국이 원인일 가능성이 제기됐다. 실내·지하 등 이동통신이 잘 안 터질 때 쓰이는 '펨토셀'(Femtocell)로 가입자 정보를 탈취했을 것이란 분석이다. 다만 초소형 기지국을 이용하더라도 별도의 개인정보 없이 어떻게 소액결제로 이어졌는지 등은 미궁이어서 정부 조사가 필요한 상황이다.
10일 과학기술정보통신부는 정부서울청사에서 브리핑을 열고 이날 오전까지 KT가 전 고객을 대상으로 분석한 결과 278건, 1억7000여만원의 소액결제 피해가 발생했다고 밝혔다. 이는 경기남부경찰청이 지난 9일 오후 6시 기준으로 발표한 피해신고(124건, 8000만원)보다 많은 수치다. 다행히 KT는 지난 5일 새벽 3시 비정상적인 소액결제 시도를 차단해 현재까지 추가 피해사례는 발생하지 않았다. KT는 소액결제 피해금액을 이용자에게 청구하지 않기로 했다.
KT 소액결제 피해는 경기 광명·부천시, 서울 금천구에서 인천 부평구, 경기 과천시, 서울 영등포구 등으로 확대되는 추세다. 대부분 상품권 사이트에서 ARS 인증방식으로 결제가 이뤄져 KISA는 이통3사와 ARS 인증 강화방안을 검토하기로 했다. 경찰이 지난 1일 KT에 연쇄적인 소액결제 피해사실을 알렸으나 나흘 뒤인 5일에야 KT가 소액결제 차단에 나선 것을 두고 '늦장 대응' 비판도 인다. KT는 그 이전까지는 가입자의 스미싱 감염으로 오인했다고 밝혔다.
지난 8일 KT는 경기 광명 소액결제 피해자의 통화이력을 조사하던 중 불법 초소형 기지국이 자체 통신망에 접속한 사실을 발견하고 과기정통부와 한국인터넷진흥원(KISA)에 침해 신고를 했다. 현재 KT 통신망에 접속한 불법 초소형 기지국은 없는 상태다. SK텔레콤과 LG유플러스도 이날 오전 과기정통부에 불법 기지국이 발견되지 않았다고 보고했다. 과기정통부는 혹시 모를 피해 예방을 위해 이통3사에 모두 신규 초소형 기지국의 통신망 접속 제한을 요청했다.
보안 전문가들은 펨토셀을 활용한 공격 가능성을 제기한다. 펨토셀이 KT의 코어망에 접속해 가입자 정보를 빼돌린 것 아니냐는 지적이다. 다만 그렇다 하더라도 실제 소액결제까지는 가입자식별번호(IMSI), 인증키값 등이 필요해 다른 원인이 있다는 분석이 나온다. 류제명 2차관도 이날 브리핑에서 "미등록 장치가 확인되긴 했지만 인증되지 않은 단말(휴대폰)이 어떻게 코어망에 접속됐는지, 여러 키값이나 인증절차 없이 소액결제가 됐는지 조사가 더 필요하다"고 설명했다.
KT 역시 불법 초소형 기지국 아이디(ID)가 발견 됐을 뿐 실물을 보지 못해 펨토셀인지 확정할 수 없다는 입장이다. 단 자체 기지국이 해킹되거나 유심 등 개인정보 유출 여부에 대해선 "가능성이 없다"고 선을 그었다. 그러나 개인정보보호위원회는 시민단체의 조사요청 민원과 소액결제 피해자의 침해신고가 접수돼 개인정보 유출 의혹 조사에 착수한다고 밝혔다. 미 보안전문지 '프랙'이 해킹 의혹을 제기한 LG유플러스도 함께 조사할 예정이다.
류 차관은 "최근 통신사를 대상으로 한 침해사고가 증가하는 상황을 엄중하게 받아들이고, 이통3사의 망 관리 실태에 대한 전면적인 보안 점검을 추진할 것"이라며 "이를 토대로 보다 근본적인 대책을 마련해 조만간 발표하겠다"고 말했다.