[미디어스=고성욱 기자] KT 소액결제 사태가 소형 기지국을 관리하는 협력사 직원 등 내부 소행일 가능성이 높다는 전문가의 주장이 나왔다. 해킹이라면 KT 전체 네트워크가 털린 것인데 피해 장소·시간·피해액 등을 고려하면 가능성은 낮다는 설명이다. 

임종인 고려대 정보보호대학원 석좌교수는 11일 MBC 라디오 <김종배의 시선집중>에서 "처음부터 내부자 소행으로 봤다"고 말했다.

임 교수는 "(이번 사태의 원인이) 아파트 단자함·옥상 등에 원래 있던 소형 기지국을 비활성화 시키고 펨토셀이라고 하는 위장 기지국을 꽂은 것으로 보인다"면서 "KT 중앙서버 네트워크는 새로운 것이 접속되면 불허할 것 아니냐. 그런데 협력사 직원은 그 네트워크에 연결시킬 수 있는 비밀번호나 인증번호를 다 알고 있기 때문에 쉽게 불법행위를 할 수 있다"고 말했다. 임 교수는 "협력사 직원들이 (소형 기지국을)수시로 점검하기 때문에 항상 드나들 수 있다"고 말했다. 

임 교수는 "일부에서 새로운 기지국 장비를 해킹해서 했다고 하는데, 중앙네트워크에 연결하려면 여러 가지 인증서라든지 비밀번호 이런 걸 알아야 한다"며 "그러면 KT 전체를 해킹했다는 얘기인데, 사실상 불가능하다"고 말했다. 임 교수는 "해커들이 보통 랜섬웨어로 몇억 원씩 버는데, 이번엔 피해액이 2억 원도 안 되잖나. 진짜 해킹이라고 하면 해커가 몇 개월 노력해야 하는데, 얻은 소득이 1~2억밖에 안 되니 수지타산이 맞지 않는다"고 했다. 임 교수는 "(피해가)특정지역과 심야 시간대에 집중돼 있는 것을 봤을 때 내부 협력사 직원의 일탈 행위일 가능성이 제일 높다"고 덧붙였다. 

임 교수는 '불법 기지국을 차량에 싣고 이동하면서 범행했을 가능성이 있다는 주장도 나온다'는 질문에 "현실적으로 어렵다"며 "IMSI 캐처 장비를 구매해 차에 싣고 다닐 수 있는데, IMSI 캐쳐는 구매하는 것도 쉽지 않고, 미국업체에서 파는데 악용될 소지가 있으니 구매자들 조회한 다음에 판다. 그 장비가 있다고 하더라도, KT 중앙망을 해킹해야 한다"고 말했다. IMSI 캐쳐는  2~3㎞ 이내에서 휴대전화와 기지국 사이를 오가는 휴대전화 데이터를 가로챌 수 있는 가방 크기의 장비다. 

임 교수는 "심야 시간대에 소액결제를 노린 것은 밤중이니까 사람들이 자고 있는 시간을 노린 것"이라며 "그러면 피해 사실을 나중에 알게 되거나, 아예 모르는 경우도 있다. 그런 일반적인 소비패턴을 노린 것으로 소액결제로 상품권 등을 구매하면 현금화하기 쉽다"고 말했다.  

임 교수는 'ARS 인증'을 통해 소액결제 피해가 발생한 것과 관련해 "우리가 휴대전화를 항상 켜놓잖나. 그러면 장악한 소형 기지국과 연결이 된다"며 "KT망을 장악하고 있으니 SMS로 오는 문자를 가로채서 피해자가 알지 못하게 보낼 수 있다. 패스인증이나 카카오인증은 (KT망을 장악해도)어떻게 할 수 없다"고 했다. 

임 교수는 KT 대처와 관련해 "심야 시간대에 같은 아파트 단지 내에서 수십 건의 결제가 이루진 것은 수상한 행위다. 그러면 이상거래탐지 시스템에서 이걸 잡아냈어야 한다"며 "그걸 못 잡아냈다는 게 아쉽다. 일부에서 KT가 해킹신고를 늦게 했다고 하는데, 보안만 40년 했는데 해킹은 거의 아니다. 물리적으로 접근을 하지 않고 거의 불가능한 사건이기 때문"이라고 했다. 

10일 KT 소액결제 피해 건수는 278건, 피해 금액은 1억 7782만 원에 이르는 것으로 파악됐다. 류재명 과학기술정보통신부2차관은 브리핑을 열고 "민관 합동 조사단을 통해 조사를 진행 중"이라면서 "조사 과정에서 불법 초소형 기지국이 KT 통신망에 접속한 사실을 확인했다"고 밝혔다. KT는 이번 무단 소액결제로 인한 모든 피해액을 이용자에 청구하지 않기로 했다. 

☞ 네이버 뉴스스탠드에서 ‘미디어스’를 만나보세요~ 구독하기 클릭!