KT의 무단 소액결제 해킹 사건에 초소형기지국(펨토셀) 정보를 바탕으로 한 다른 불법 무선 장비가 사용됐을 가능성이 제기됐다.
경찰은 25일 KT 무단 소액결제 사건의 중국 국적 피의자 2명을 검찰에 송치했다.
경기남부경찰청에 따르면 피의자들은 '윗선'의 정체를 모른다며 함구하고 있지만, 범행에 사용한 장비들을 중국으로 밀반출하려는 시도가 드러났다.
경찰은 범인으로부터 27개의 네트워크 장비 부품을 압수했다. 이들 장비는 2개 라면 박스에 담겨져 평택항을 통해 중국으로 밀반출되려 했던 것으로 전해졌다. 이 장비가 KT가 사용하던 펨토셀인지 정보는 불분명하다. 다만 KT는 소액결제 해킹에 사용된 장비가 KT 망에 연동된 이력이 있는 장비라고 밝혔다. 피의자들이 미상의 경로로 취득한 펨토셀 메모리에 탑재된 인증 정보를 활용했다는 데 무게가 실리고 있다. 중국산 펨토셀 등 장비 활용 범위가 넓어지면서, 불법 장비 활용 가능성 문제가 더욱 심각해지고 있다는 진단이다.
이번 사건과 관련해 유심 카드 복제를 통한 심스와핑 가능성을 배제할 수 없다는 관측도 제기된다. 우리나라에서는 심 스와핑이 생소하지만, 해외에서는 유심(USIM) 복제를 활용한 심 스와핑이 빈번하게 발생해 골머리를 앓고 있다. 영국에서는 지난달 체셔 지역의 한 사업가가 25만파운드(약 4억7000만 달러)를 탈취당한 사건이 발생한 후 범인이 체포돼 화제가 됐다. BBC에 따르면 2024년에는 3000건, 2023년 289건의 심 스와핑 사례가 발생했다. 유럽의 경우, 주로 이용자 여권번호 등 개인정보를 가진 범인들이 통신사에 전화해 범행 대상의 심카드를 발급 받거나, 통신사 내부자의 협조로 유명 인사들의 정보를 가진 심카드를 발급 받는 형태로 진행됐다. 이들 심 카드를 '언락폰'에 삽입해 원래 이용자 전화번호로 ARS 인증번호 등을 탈취, 금융 범죄에 악용한 사례가 보고된다.
KT는 심 스와핑 가능성에 대해 부정해 왔다. 유심은 개인고유식별번호(IMSI)를 내장하고 키(Ki) 값은 암호화해 보관해 기술적으로 복제는 어렵다는 설명이다. 범인들이 다양한 불법 장비, 내부서버 해킹 등 경로들을 활용해 불법 복제 유심 정보를 확보했을 경우, 유심 기변 또는 심박스 등을 활용해 원래 이용자 번호로 통신했을 가능성을 배제할 수는 없다. 다만, 이동통신사들은 만에 하나 있을 지 모를 유심 복제에 대비해 이상정보탐지시스템(FDS)를 갖추고 있는 것으로 전해졌다.
보안 전문가는 “불법 무선 기지국이 범행 대상 이용자에 대한 도청을 통해 ARS 인증값 등을 알아낸 것은 분명해 보인다”며 “다만, 유심에는 IMSI와 암호화된 키 값으로 복제를 차단하는 기술이 적용된 만큼 현재 알려진 정보만으로 복제가 이뤄졌을지 단정하긴 어렵다”고 말했다.
박지성 기자 jisung@etnews.com
