■ 방송 : CBS 라디오 <김현정의 뉴스쇼> FM 98.1 (07:10~09:00)
■ 진행 : 김현정 앵커
■ 대담 : 김한수(화이트해커)
◇ 김현정> 지금부터 할 얘기는요. 여러분, 휴대폰 소액 결제에 관련된 이야기를 좀 해보려고 하는데 휴대폰 소액 결제 서비스 아시죠? 온라인에서 상품 결제할 때 신용카드로 하는 방법이 있고 계좌 이체하는 방법도 있고 네이버 페이, 카카오페이 이런 거 쓰는 방법도 있는데 그중에 하나가 휴대폰 결제라는 방법도 있습니다. 그달의 휴대전화 요금 청구서에 상품 구입비가 포함돼서 나오는 방식이에요.
그런데 바로 이것을 노린 범행이 최근 벌어지고 있습니다. 내가 자는 사이에 나도 모르게 내 휴대전화 전화번호로 상품권을 왕창 구입하는 이런 식으로 지금 범행이 이루어지고 있습니다. 피해자는 현재까지 300여 명, 피해액은 1억 7000여만 원에 이르는데 문제는 계속 늘어가고 있다는 겁니다. 이들의 공통점은 첫째, KT 사용자다. 둘째, 피해자 대다수의 거주지나 활동 무대가 금천, 광명 이쪽이다. 지금으로선 이 두 가지밖에 밝혀진 게 없습니다. 도대체 이런 일이 어떻게 벌어지고 있는 건지 몇 가지 추정은 나오고 있는데요. 짚어보겠습니다. 화이트 해커 김한수 씨와 함께합니다. 김한수 선생님, 어서 오세요.
◆ 김한수> 안녕하세요.
◇ 김현정> 그러니까 자고 일어났는데 결제됐습니다, 결제됐습니다. 이런 결제 문자 메시지가 쭈르륵 쌓여 있는 형식이었던 거예요? 어떤 식으로 지금 피해가 드러난 거예요?
◆ 김한수> 피해자들이 처음에 27일.
◇ 김현정> 8월 27일.
◆ 김한수> 예, 8월 27일 접수된 내용들을 보면요. 피해자들이 자고 일어나니까 결제가 되어 있었고 그리고 일부 몇몇 사람들은 카카오톡도 로그아웃이 되어 있었다고 합니다. 근데 이런 사람들이 그 당시에는 20명 정도였는데 이런 사람들이 점점 늘어나고 있다는 게 문제인 거죠.
◇ 김현정> 점점 늘어서 지금 300여 명까지 와 있는 거군요.
◆ 김한수> 예.
◇ 김현정> 그러면 그게 왜 결제가 되면 띠링 띠링 뭐가 오는데 이분들이 주무시는 시간이니까 뭔가 진동을 해놨거나 혹은 울렸어도 못 알아들었거나 이런 결제가 쭉, 소액 결제가 된 거군요.
◆ 김한수> 근데 여기서 조금 특이한 점이 원래 소액 결제를 하려면 본인 인증을 해야 됩니다. 그래서 인증 문자가 오거나 그 혹은 ARS 결제면 ARS 전화가 와야 되는데 지금 인증번호 문자도 안 왔었고 전화도 없이 결제가 일어난 겁니다.
◇ 김현정> 하긴 온라인으로 결제를 하는 거면은 분명히 중간에 비밀번호를 누르시오라든지 패스 인증을 하라든지.
◆ 김한수> 예, 인증번호 6자리 이러헥.
◇ 김현정> 맞아요. 뭔가 한차례 더 뭐가 있는데 이분들은 그런 거 안 했는데 그냥 자고 있었는데 결제가 다 돼 버렸다.
◆ 김한수> 그렇죠.
◇ 김현정> 도대체 어떻게 이런 일이 벌어질 수 있었는가 원인을 찾아야 될 텐데 아직까지 정확한 원인 못 찾은 거죠?
◆ 김한수> 예, 지금 이게 사실 미스테리입니다. 이렇게 발생해서 이런 피해가 있었던 게 사실 처음이다 보니까 이런 혼란이 있는 것 같습니다.
◇ 김현정> 여러분들, SKT 얼마 전에 해킹 당했을 때 그때 되게 컸잖아요. 2300만 사람들 게 다 털렸으니까. 근데 그때는 개인 정보하고 식별번호, 개인 식별번호가 털려서 큰일 났다고 했지만 그게 금융 피해로까지 이어지지는 않았거든요, 다행히도. 이번에는 금융 피해가 난 거예요. 그래서 어떻게 보면 더 큰 일이 지금 벌어진 건데 왜 이런 일이 그럼 발생했는가? KT나 과기부에서 가장 유력하게 보고 있는 건 불법 초소형 기지국을 누군가 만든 거 아니냐, 불법으로 초소형 기지국을 만들어서 턴 거 아니냐 이런 얘기던데 저는 이게 무슨 말인지 못 알아듣겠더라고요. 이게 무슨 말입니까?
◆ 김한수> 저희가 스마트폰으로 전화나 문자를 주고받으려면 어쨌든 기지국, 그러니까 통신사와 주고받아야 되잖아요. 그래서 이 통신사들은 지역마다 기지국을 설치해 둡니다. 근데 거기에서 피해자들의 통화 이력을 분석해 보니까 KT가 등록하지 않은 기지국으로 연결되었던 흔적을 발견한 거죠. 그러니까 KT 장비가 아닌 다른 관리되지 않는 미인가 장비로 통신을 하고 있었던 겁니다, 피해자들의 휴대폰을 보니까. 그래서 이걸 통해서 범죄가 일어나지 않았을까라고 생각하는 거고요.
◇ 김현정> 그러니까 제가 지금 여기 목동인데 그럼 목동 KT 기지국을 통해서 내가 전화를 이렇게 했었어야 되는 통신을 해야 되는데 목동 KT 기지국이 아닌 뭔가 알 수 없는 유령 기지국을 통해서 이 KT 소비자가 통신을 했더라.
◆ 김한수> 맞습니다.
◇ 김현정> 이런 걸 발견한 거예요?
◆ 김한수> 예, 근데 사실 이게 쉽지 않은 게 보통 도심에서는 기지국을 다 전파가 빵빵하게 다 설치를 해 두다 보니까 보통은 기지국, 정상적인 기지국으로 붙게 되거든요.
◇ 김현정> 전화가 가서 붙는다 이 얘기인 거죠? 통신이 가서 붙는다.
◆ 김한수> 예, 스마트폰이 그 기지국에 연결이 되어야 전화가 되는 겁니다, 데이터가 터지는 거고.
◇ 김현정> 그걸 이제 쉽게 전파가 붙는다 이렇게 얘기하는 거예요?
◆ 김한수> 예, 맞아요. 그런데 저희가 이 가상 기지국을 아무래도 범죄자들이 그걸 가지고 도심에서 딱 뿌렸다고 해도 여기에 원래 잘 안 붙거든요. 그래서 제가 생각하는 가능성 중에 하나가 저희가 전화나 문자가 잘 안 터지는 음영 지역이라고 하거든요. 예를 들면 엘리베이터라든가.
◇ 김현정> 엘리베이터 잘 안 터져요, 전파.
◆ 김한수> 지하 주차장이라든가 이런 데에서는 전파가 잘 안 터지는데 여기에서 범죄자가 이 소형 기지국을 가지고 있었다면 이게 신호가 가장 세고 안정적인 곳으로 붙게 되거든요. 그러다 보니까 이런 곳에서 피해를 당하지 않았을까라고 생각해 봅니다.
◇ 김현정> KT가 운영하는 빵빵한 기지국이 있는데 이 초소형 불법 기지국에 가서 전파가 붙을 리가 없는데 되게 이상한데 가끔 저도 엘리베이터 타면 전화 끊기는 경우 있거든요. 통신 안 되는 경우 있거든요. 인터넷 쓰고 가는데 갑자기 멈추는 경우 있거든요. 이런 사각지대를 노리고 있다가 거기서 불법 초소형 기지국을 설치해 놓으면 거기서 전파가 달라붙었을 가능성?
◆ 김한수> 예, 거기에서 그랬을 가능성 또한 있습니다. 혹은 뭐 이렇게 전파가 빵빵한 곳에서는 확실히 근접해야 붙습니다. 바로 옆이라든가 이런 식으로. 그래서 피해자들이 발생한 지역들을 보면 다 인근 지역인데 물리적인 활동을 하고 있을 것이다. 물리적인 활동이 필요하다고 추정해 볼 수 있는 거죠.
◇ 김현정> 이제 이런 가능성, 불법 초소형 기지국을 만들어서 범행을 저질렀을 가능성 하나로 떠오르고요. 두 번째 가능성, 어떤 전문가들은 이러세요. 범인이 차에다가 펨토셀이라는 걸 싣고 돌아다니면서 통신망을 가로채는 워 드라이빙 수법 쓴 거 아니냐. 저는 이것도 무슨 소리인지 모르겠더라고요. 펨토셀은 뭐고 워 드라이빙 방식은 뭐예요?
◆ 김한수> 이 펨토셀이 가상 기지국 중에 하나입니다. 그러니까 펨토셀을 이용하더라도 KT 입장에서는 미인가 기지국에서 연결이 되었다. 아까 방금 저희가 얘기한 초소형 기지국이 이 펨토셀을 이야기한 겁니다.
◇ 김현정> 그게 그거예요?
◆ 김한수> 예.
◇ 김현정> 그럼 불법 초소형 기지국인 펨토셀을 차에다가 싣고 다니면서.
◆ 김한수> 수집을 했다.
◇ 김현정> 그걸 워 드라이빙 이렇게 얘기해요? 그 방식을?
◆ 김한수> 예, 그렇게 표현하기도 합니다.
◇ 김현정> 그러면은 어디다가 하나 딱 설치해 놓은 게 아니라 차를 가지고 쭉 돌아다니면서 전파가 그러다가 붙으면 좋고 이렇게 운영했지 않았을까?
◆ 김한수> 맞습니다.
◇ 김현정> 이 가능성은 얼마나 보세요?
◆ 김한수> 이 가능성도, 물론 가능성 모두 다 열어놔야 되는데 사실 저는 이렇게 제가 아까 이야기했듯이 이 펨토셀에 붙으려면 전파도 강해야 되고 이 기지국에서 정상적인 기지국에서 보내는 신호보다 더 안정적이고 강해야 되는데 이렇게 움직이면서 전파를 잡기는 쉽지 않을 거라고 저는 생각을 하거든요.
◇ 김현정> 이 가능성 낮다고 보세요.
◆ 김한수> 예, 만약에 그럴 수 있지만 그러려면 이 펨토셀 장비가 전파를 더 강력하게 더 멀리 더 넓은 지역을 커버할 수 있는 장비여야 되는데 그러면 훨씬 더 고가의 장비였을 것이고 그렇게 고가의 장비를 사용하는 범죄 조직이라면 사실 피해자랑 피해 금액이 사실 더 컸어야 된다고 저는 개인적으로 생각합니다.
◇ 김현정> 이건 지금 소액 결제다 보니까 300여 명 거 다 합쳐도 1억 7000 정도인데 그 정도 장비 구입비하고 얻는 수익하고 비교했을 때 현재까지는 가성비가 안 나온다?
◆ 김한수> 예, 제 생각에는 그렇습니다.
◇ 김현정> 세 번째 가능성, 세 번째로 제기되는 가능성은 가장 단순한 수법이에요. 뭐냐면 유심 복제 수법. 이거는 여러분, 많이 들어보셨죠? SKT 때도 이거 걱정했잖아요, 우리가. 내 폰하고 똑같은 폰을 하나 더 범죄자가 만들어내는 방식, 내 유심을 복제하려면 개인 정보 싹 털어야 되고 개인 정보 터는 거 요새 너무 쉬우니까 근데 거기다가 가입자 식별 번호 IMSI, 이게 말하자면 이제 가입자들에게 붙는 주민번호 같은 건데 이거를 털어내면은 내 폰과 똑같은 복제 폰이 나오거든요. 근데 이번에도 결국 SKT 때처럼 그렇게 한 거 아니야? 이 얘기들을 하시던데 어떻게 보세요? KT는 지금 털린 거 없다고 그래요.
◆ 김한수> 사실 저도 이게 가능성이 가장 높다고 생각을 하거든요. 왜냐하면 피해 증상들을 보면 새벽에 주로 일어났고 문자와 전화 통화가 안 됐었거든요. 그러니까 소액 결제를 할 때 필요했던 문자도 안 왔었고 ARS 인증도 전화가 안 왔었다.
◇ 김현정> 맞아요.
◆ 김한수> 그렇다는 건 문자와 전화를 중간에 어디선가 가로채고 있었다는 건데 그러면 복제폰, 그러니까 복제 유심 공격일 가능성이 높거든요. 하지만 그렇다면 KT에서 유출된 정보가 더 있었어야 합니다.
◇ 김현정> 그렇지, 지금 KT에서는 우리 해킹당한 거 없어요. 이러고 있거든요. 근데 그대로 해보려면은 KT가 해킹당한 게 뭐가 지금 나와야 될 텐데 중요한 정보들을 막 다 빼가서 똑같은 폰 만들었구나 이렇게 돼야 될 텐데 그 부분이 설명이 잘 안 돼, 혹시 KT가 모르고 있는 건 아닐까요?
◆ 김한수> 그래서 제가 개인적으로 생각할 때는 KT 대리점이나 이런 데서 사용하는 비인가 장비라든가 아니면 개발 부서에서 사용하는 개발 장비 테스트 계정 이런 계정들을 통해서 DB를 조회했을 때 로그가 남지 않는다거나 혹은 내부자가 협력해서 그 로그 정보를 지웠을 가능성 또한 있지 않을까, 만약에 그런 기록이 없다면 말이죠.
◇ 김현정> 이거 굉장히 중요하네요. 아직까지는 다 가정입니다만 너무 이상한 게 많다 보니까 혹시 KT가 해킹을 당했는데 그 해킹 기록을 누군가 내부자가 지웠을 가능성 혹은 아예 그냥 내부자 소행일 가능성, 해킹이 아니라 그냥 내부자가 들어가서 광명하고 인천 쪽 것만 빼왔을 가능성도 열어놓을 수 있다.
◆ 김한수> 예, 열어둘 수 있는데 내부 직원의 가능성도 있긴 하지만 또 한계도 있긴 해요. 왜냐하면 내부자 직원이었으면 특정 지역에서만 하진 않았을 거고 숫자도 더 훨씬 더 많았을 것 같거든요. 사실 이걸 동시에 한 번에 처리하고 전국적으로 돌렸다면은 더 큰 수익을 얻고 그냥 잠적할 수도 있었을 텐데 지금은 물리적인 행동도 필요했고 그다음에 시간적으로도 보면은 하루에 커버할 수 있는 사람의 수가 많아 봤자 20명 정도인 것 같거든요.
◇ 김현정> 그렇군요. 이런 가능성들을 지금 다 열어놓고 수사를 하고 있는데 개인적으로는, 김한수 씨 개인적으로는 마지막, 그래도 누군가 사람이 물리적으로 그 내부인이 됐든 누가 됐든 물리적으로 빼냈을 가능성을 좀 더 높이 보세요?
◆ 김한수> 예, 저는 개인적으로 이 초소형 기지국, 펨토셀을 이것만 가지고 해킹했다고 생각하지는 않고요. 이 장비를 가지고 IMSI라든가 IMEI 이 유심과 관련된 식별 정보가 있거든요. 아이디와 같은 정보. 이런 정보들을 수집한 다음에 그다음에 집에 와서 새벽에 작업을 했다. 그러면 작업을 할 때 필요한 건 KT에서 유출되었던 비인가 장비라든가 비인가 계정을 통해서 뭔가 이루어지지 않았을까 생각입니다.
◇ 김현정> 알겠습니다. 원인이 뭔지는 지금 과기부와 KT에서 총동원돼서 찾고 있으니까 기다려 보기로 하고요. 일단 그때까지 우리는 뭘 어떻게 해야 될 것인가 지금 KT 통신 쓰시는 분들이 문제인 거거든요. 그분들은 뭘 어떻게 해야 될 건가 그걸 알려주세요.
◆ 김한수> 사실 이거는 저희가 열심히 하기보다는 KT가 알아서 해줘야 원래 맞는 거긴 한데요.
◇ 김현정> 맞아요.
◆ 김한수> 저희가 조심해야 되는 거는 소액 결제 피해다 보니까 소액 결제를 차단해 주는 거, 막는 거 신청하시면 됩니다.
◇ 김현정> KT에서는 이렇게 피해 발생한 분들의 피해액은 전액 보상하겠다. 이런 방침을 밝혔고요. 그 소액 결제 인증을 좀 2중 인증, 혹은 생체 인증만 가능하게 만들어 바꿔 놓는 건 어때요?
◆ 김한수> 사실 소액 결제가 간편하게 휴대폰으로 저희가 뭐 전화번호 문자 인증이라든가 ARS 결제 인증을 통해서 하려고 만들어 둔 건데 여기에 생체 정보도 넣고 이러면은 소액 결제에 메리트가 없지 않을까라는 개인적인 생각이 듭니다. 사실 그 외에 지금은 예전 같은 경우는 뭐 신용카드라든가 체크카드 이런 게 결제가 활발하지 않았을 때는 이 휴대전화 소액 결제가 유용했지만 지금 같은 경우는 그렇게 사용하는 사람이 그렇게 많지 않다 보니까.
◇ 김현정> 차단하는 쪽을 권하시는 것 같네요, 일단은.
◆ 김한수> 맞습니다.
◇ 김현정> 알겠습니다. 소액 결제액을 확 줄여 놓는 건 어때요? 막 500원 이렇게. 500원, 1000원 이렇게. 아. 그러면은 기능은 살아 있는데 결제는 못 하게. 이것도 근데 그놈들이 결제액을 늘려서 할 수 있겠구나.
◆ 김한수> 맞습니다. 실제 그런 기사도 있다고 하더라고요. 피해자 어떤 분께서는 이 소액 결제를 막아놨는데 소액 결제 다시 풀어달라고 문의글을 남겼다고 합니다, 범죄자가.
◇ 김현정> 알겠습니다. 이런 상황이어서 빨리 원인 발견하고 막는 게 중요할 것 같습니다. 김한수 씨, 오늘 고맙습니다.
◆ 김한수> 감사합니다.
※ 내용 인용 시 CBS <김현정의 뉴스쇼> 인터뷰 내용임을 밝혀주시기 바랍니다.