연합뉴스KT 무단 소액결제 사건의 범행 도구로 불법 소형 기지국 장비(펨토셀)가 사용된 것으로 밝혀지면서 펨토셀만 있으면 누구나 타인의 명의로 소액결제를 할 수 있을지 관심이 커지고 있다.
KT 소액결제 사건…펨토셀 이용한 해킹 범죄
KT 무단 소액결제 사건의 피의자인 중국 국적 남성 장씨(왼쪽)와 류씨가 18일 구속 전 피의자 심문(영장실질심사)에 출석하기 위해 경기도 수원영통경찰서 유치장에서 나오고 있다. 연합뉴스18일 CBS 노컷뉴스 취재를 종합하면 KT 무단 소액결제 사건의 피의자인 중국 교포 장모(48)는 펨토셀을 승합차에 싣고 다니면서 수도권 특정 지역 KT 이용자들의 휴대전화를 해킹한 것으로 밝혀졌다.
경찰은 장씨를 검거하면서 범행에 사용한 펨토셀을 확보했다.
초소형 기지국을 일컫는 펨토셀은 사용자의 인터넷 회선을 활용해 통화 신호와 데이터 신호를 전송하는 역할을 한다. 통상 상업시설이나 공공장소 내 통신·전파 음영 지역을 없애거나, 통신량을 분산해 이용자가 서비스를 원활하게 이용할 수 있도록 한다. 손바닥 크기에 커버리지 반경은 10~50m다.
펨토셀은 통상 이동통신사가 고객의 요청을 받고 설치하지만 고객의 이사 등 다양한 이유로 대다수가 사각지대에서 방치되고 있다.
국회 과학기술정보통신위원회 최수진(국민의힘) 의원이 국내 이동통신 3사로부터 받은 자료에 따르면 전국 펨토셀은 19만5천대며 이중 32.82%에 해당하는 6만4천대가 방치되고 있다. 관리 밖 펨토셀 중 KT 소유분은 89%로 가장 많다. LG유플러스는 6.3%, SK텔레콤은 4.7%다.
장씨가 소유하고 있던 펨토셀이 KT 소유의 펨토셀인지는 확인되지 않았지만, 피해자가 모두 KT 가입자이거나 KT의 전산망을 통하는 알뜰폰 요금제를 사용자인 점을 감안하면 KT 펨토셀일 가능성이 높다.
펨토셀만 있으면 누구나 소액결제 가능할까?
구재형 KT 네트워크부문 네트워크기술본부장이 18일 서울 종로구 KT광화문빌딩에서 소액결제 피해 관련 대응 현황을 발표하고 있다. 연합뉴스그렇다면 펨토셀만 구할 수 있다면 누구나 타인의 명의로 소액결제를 할 수 있을까. '절대 아니다'라고 단정 지을 수 없지만, 현실적으로 불가능 하다는 게 전문가의 소견이다.
펨토셀이 있더라도 단말기고유식별번호(IMSI)을 얻기 위해서는 별도의 해킹이 필요하다. 또 IMIS는 가입자와 네트워크를 구분하는 번호만 담겨 있기 때문에 소액결제를 위해서는 이름·주민등록번호·휴대폰 번호와 같은 개인정보가 필요하다. 끝으로 자동응답전화(ARS) 인증을 거쳐야 한다.
아주대학교 곽진 사이버보안학과 교수는 "10여년 전만해도 인터넷에서 펨토셀을 구매할 수 있었고, 방치된 펨토셀도 구하려고 마음만 먹으면 충분히 구할 수 있다"며 "다만 펨토셀을 통해 처리되는 정보만으로 소액결제를 하는 건 물리적으로 불가능하다"고 말했다.
결국 펨토셀만으로는 타인의 명의로 소액결제를 할 수 없다는 결론에 다다른다.
곽 교수는 "피의자들이 어떻게 KT 이용자들의 개인정보를 습득했고, ARS 인증을 뚫었는지는 여전히 의문으로 남아 있다"며 "이는 수사를 통해 밝혀야 할 문제"라고 했다.
의문으로 남아 있는 범행 수법…주범 검거 필요해
황태선 KT 정보보안실장이 지난 11일 서울 종로구 KT 광화문빌딩 웨스트 사옥에서 열린 소액결제 피해 관련 기자 브리핑에서 신고 사항 경과에 대한 발표를 하고 있다. 류영주 기자
피해를 예방하기 위해서는 피해자들의 개인정보가 유출된 경로를 밝혀내야 한다. 경찰은 사건의 실체를 밝히기 위해 주범을 추적하는데 주력하고 있다.
경찰 조사에서 장씨는 "중국에 있는 윗선 A씨의 지시를 받고 범행했다"고 진술한 것으로 알려졌다.
장씨의 진술로 주범의 실체가 드러나면서 일용직 노동자로 근무했던 장씨가 어떻게 전문가도 어려운 첨단 범죄를 저질렀는지에 대한 의문은 해소됐다.
하지만 피해자들의 개인정보 유출 경로는 여전히 의문으로 남아 있다.
경찰은 장씨가 진술한 정보를 토대로 A씨를 추적하는 한편, 이날 열린 장씨에 대한 영장실질심사 결과가 나오는 대로 관련 수사를 이어나갈 방침이다.