KT '유령 결제' 원인, '가짜 기지국'으로 좁혀지나…통신망 보안 '총체적 부실' 드러내

[이코노믹데일리] 수도권 일대를 덮친 KT 가입자 대상 ‘유령 소액결제’ 사태의 원인으로 ‘가짜 기지국(False Base Station, FBS)’이 유력하게 떠오르고 있다. KT가 자체 조사 과정에서 자사가 운영하지 않는 불법 기지국의 접속 정황을 포착하고 정부에 보고한 것으로 확인되면서 이번 사태가 단순 개인정보 유출을 넘어 국가 기간 통신망의 보안이 뚫린 심각한 사건일 수 있다는 우려가 최고조에 달하고 있다.

과학기술정보통신부는 지난 9일, KT로부터 사이버 침해 사고 신고를 접수하고 즉시 민관 합동 조사단을 구성해 현장조사에 착수했다고 밝혔다. 특히 과기정통부는 “KT가 고객 무단 소액결제 침해사고 원인의 하나로 불법 초소형 기지국의 통신망 접속을 언급했다”고 밝혀 ‘가짜 기지국’이 이번 사태의 핵심 원인일 가능성을 공식화했다.

‘가짜 기지국’은 이동통신 기지국을 모방한 장치를 이용해 특정 지역 내 스마트폰의 접속을 유도한 뒤 통신 내용을 도청하거나 개인정보를 탈취하는 고도의 해킹 수법이다. 이번 사건의 피해자들이 악성 앱 설치나 스미싱 링크 클릭 없이 특정 지역(광명·금천·부천 등)에서 새벽 시간대에 집중적으로 피해를 본 정황은 가짜 기지국 시나리오를 강력하게 뒷받침한다.

과기정통부는 KT의 보고 직후, 10일 오전 12시 보도자료를 통해 “불법 기지국이 통신망에 접근하지 못하도록 즉각적인 대책을 요구했다”고 밝혔다.

하지만 전문가들은 이번 사태가 단순 ‘가짜 기지국’ 문제를 넘어설 수 있다고 경고한다. 한 통신 보안 전문가는 “가짜 기지국 공격은 통신망의 암호화 체계가 상대적으로 취약했던 과거에나 유효한 방식”이라며 “최신 5G 망에서 소액결제에 필요한 인증 정보까지 탈취하려면 단순히 기지국을 위장하는 것을 넘어 유심 정보를 복제하거나 통신망과 단말기 사이에서 데이터를 직접 가로채는 ‘중간자 공격(MITM, Man in the Middle)’과 같은 더 정교한 수법이 결합됐을 가능성이 크다”고 분석했다. 복제 유심을 통해 피해자의 단말기를 그대로 복제한 뒤 인증 절차를 가로채 소액결제를 감행했을 것이라는 추측이다.

이번 사태의 전말은 이제 정부의 손에 넘어갔다. 최우혁 과기정통부 정보보호네트워크정책관을 단장으로 하는 민관합동조사단은 KT의 자체 분석 결과를 검증하고 불법 기지국 외 다른 가능한 침해 원인에 대해서도 심도 있는 조사를 진행할 계획이다.

피해 규모는 계속 늘어나고 있다. 9일까지 광명, 금천, 부천 등에서 공식 확인된 피해액만 5000만 원을 넘어섰으며 인천 등 다른 지역에서도 유사 피해 신고가 접수되고 있어 실제 피해 규모는 훨씬 더 클 것으로 보인다.

KT는 지난 8일 저녁 KISA에 사이버 침해를 공식 신고하며 “개인정보 해킹 정황은 없다”고 밝혔지만 ‘가짜 기지국’이라는 최악의 시나리오가 현실화될 경우 이는 KT의 보안 시스템뿐만 아니라 대한민국 통신망 전체의 신뢰성에 대한 근본적인 질문을 던지는 중대한 사건으로 기록될 전망이다.