🔎 핵심만 콕콕
- KT 이용자 사이에서 무단 소액결제 피해가 발생했습니다.
- 해커가 불법 기지국을 악용한 정황이 포착됐는데요.
- KT는 피해 차단에 나섰지만, 늑장 대응이라는 비판이 일고 있습니다.
나도 모르는 사이 소액결제가?
🤔 계속 늘어나는 피해 신고: 지난달 27일부터 이달 9일 사이 경기도 광명시와 부천시, 서울 금천구 등에서 소액결제 피해 신고가 잇따랐습니다. 새벽 시간에 자신도 모르게 모바일 상품권이나 교통카드 등의 구매 결제가 이뤄졌다는 건데요. 피해 사례는 124건으로, 접수된 피해 금액은 광명경찰서 4,730만 원, 금천경찰서 2,850만 원, 부천소사경찰서 480만 원 등이었습니다. 관련 사건은 경기남부경찰청 사이버수사대가 병합해 수사 중이죠.
📱 공통점은 KT 이용자: 피해자는 모두 KT 가입자였습니다. KT 전산망을 통하는 알뜰폰 요금제 이용자도 있는 것으로 알려졌는데요. 피해가 특정 지역을 중심으로 발생하자 경찰은 해당 지역 대리점과 관련돼 범행이 이뤄졌을 수 있다는 판단하에 피해자들의 휴대전화 개통 지점을 파악했습니다. 하지만 개통 대리점이 제각각이었으며, 연령대, 휴대전화 기종도 모두 달랐는데요. 또한, 피해자들은 악성 링크에 접속하거나 특정 앱을 설치한 적이 없었다고 진술했습니다.
📜 자체 조사 나선 KT: 경찰 수사와 별개로 KT도 자체 조사를 진행했습니다. KT는 광명 일대의 휴대전화 접속 내역을 조사하는 과정에서 수상한 흔적을 발견하고 지난 8일, 한국인터넷진흥원(KISA)에 사이버 침해 사실을 신고했는데요. 다만 KT 관계자는 통신 시스템 자체가 해킹된 정황은 없었다며, 개인정보 역시 유출된 정황이 없다고 덧붙였죠.
원인은 불법 기지국?
❓ 해커, 유령 기지국 세웠나: 지난 9일, 과학기술정보통신부(과기정통부)는 이동통신 및 네트워크 전문가를 포함한 민관합동조사단을 꾸리고 조사에 착수했습니다. 그리고 이번 사태의 원인 중 하나로 불법 기지국(FBS)의 통신망 접속을 언급했는데요. 해커가 실제로는 존재하지 않는 가상의 기지국을 설치해 이용자들의 트래픽을 가로챘다는 것입니다.
불법 기지국(Fake Base Station, FBS): 이동통신사의 정식 기지국을 모방한 장치로 스마트폰의 연결을 유도한다고 알려져 있습니다. 스마트폰이 가상 기지국에 연결되면 트래픽을 가로채 개인 식별 정보·통화 기록 등의 정보를 탈취할 수 있고, 통신사의 네트워크와 사기 방지 시스템을 우회해 'SMS 블래스터'와 같은 장비로 피싱 메시지를 직접 대량 발송할 수도 있죠.
🚫 통신망 접속 전면 제한해: 이에 과기정통부는 KT에 불법 기지국이 통신망에 접근하지 못하도록 즉각적인 대책을 요구했습니다. 불법 기지국이 피해가 발생한 장소 이외에서도 접속할 수 있다는 가능성을 확인했기 때문인데요. 더불어 SK텔레콤과 LG유플러스에도 초소형 기지국 현황을 점검하고 접속 제한 조치를 내릴 것을 요청했죠. KT는 지난 9일 오전 9시부터 새로운 초소형 기지국의 통신망 접속을 전면 제한한 상태입니다.
👿 어떻게 해킹됐나: 한편, 이번 범행에는 초소형 기지국 역할을 하는 통신 장비 '펨토셀'을 이용했을 것이라는 추측이 나옵니다. 펨토셀은 반경 10m 통신을 제공하는 초소형, 저전력 이동통신 기지국인데요. 통상 가정이나 사무실에서 통신 품질을 높이기 위해 사용되지만, 보안과 인증 절차가 취약하다는 단점이 있죠. KT는 2013년 세계 최초로 광대역 LTE 홈 펨토셀을 개발해 상용화에 나선 바 있습니다.
향후 대응은 어떻게?
🚨 KT, 피해 차단에 돌입: KT는 고객에게 금전적 피해가 가지 않도록 대응에 나섰습니다. 지난 5일 새벽부터 비정상적인 소액결제 시도를 차단했으며, 휴대전화 결제 대행사와 협의해 상품권 판매 업종 결제 한도를 기존 100만 원에서 10만 원으로 일시적으로 축소했는데요. 고객이 의심 사례를 KT에 신고할 경우 피해 금액이 청구되지 않도록 하는 조치도 시행했습니다. 100번 또는 24시간 운영 중인 전담 고객센터를 통한 고객 문의도 지원하죠.
🙁 보상 계획은 아직…: 단, 가입 해지를 원하는 고객에 대한 위약금 면제 등 추가적인 보상 조치는 마련되지 않은 상태로 보입니다. 금전적 피해 방지 외에 개인정보 유출 우려와 정신적 고통에 대한 보상 체계도 준비되지 않았다는 지적도 나오는데요. 관계자에 따르면, KT는 조사가 진행된 후 피해 고객에 대한 배상도 검토하겠다는 입장으로 알려졌습니다.
🗯 비판 피해 갈 수 없어: 한편, KT의 대응을 두고 비판도 제기됩니다. 침해 사실과 조치 내용을 홈페이지에만 공지하고, 가입자에게 문자로는 알리지 않아 고령층 등 정보 취약계층이 피해 상황을 파악하기 어려웠다는 거죠. 게다가 지난 1일, 경찰이 KT에 소액결제 피해 사실을 알렸지만 즉각 조치하지 않아 피해 규모가 더 늘었다는 목소리도 나옵니다.