[뉴스웍스=박광하 기자] 과학기술정보통신부는 10일 KT 고객 무단 소액결제 침해사고와 관련해 브리핑을 열고 "불법 초소형 기지국이 통신망에 접속해 무단 소액결제 피해가 발생했다"고 발표했다. 

과기부에 따르면 KT는 9월 5일 새벽 3시부터 이상 호 패턴을 파악해 해당 트래픽을 차단했지만, 당초 이용자 단말의 스미싱 감염으로 판단해 침해사고로 신고하지 않았다. 이후 피해자의 통화기록 분석을 통해 8일 오후 미등록 기지국 접속을 확인하고 당일 저녁 침해사고로 신고했다. 과기부는 8일 저녁 7시 16분 침해사고 신고를 접수한 직후 KT 현장에 출동해 사고 상황을 파악했다. 과기부는 민관합동조사단을 통해 미등록 불법 기지국이 어떻게 통신망에 접속했는지, 어떤 방식으로 무단 소액결제가 이뤄졌는지에 대해 면밀히 조사할 계획이다.

다음은 이날 브리핑에서의 일문일답.

-김수키 서버에서 발견된 KT와 LG유플러스 해킹 흔적과 이번 소형 기지국 사태의 연관성은?

"지난번 프랙에 올라온 김수키 관련 건에 대해 설명하겠다. 프랙에 올라와 있다고 알려진 그 정보들이 해당 통신사들의 정보임을 확인했다. 확인 이후 당국과 한국인터넷진흥원(KISA)은 해킹 사고의 정황이 있다는 그런 판단에 따라서 통신사에 신고를 요청했다.

이번 소액결제 피해와 김수키 관련 사건의 연관성에 대해 지금 단계에서 말하기가 어렵다. 김수키 건과 관련돼서 침해 사고로 신고를 하진 않았지만 사업자 동의 하에 현재 사실조사를 하고 있고, 이번 건에 대해서는 민관합동조사단이 정식으로 구성돼서 조사를 지금 하고 있다. 두 사건의 관련성에 대해 확인하겠다."

-가상 기지국과 초소형 기지국은 구분되는 건가?

(구재형 KT 네트워크기술본부장) "가상 기지국과 초소형 기지국은 동일한 것을 의미한다. 저희가 처음에 피해자들의 통화 패턴을 분석하면서 특정한 패턴을 확인했는데 그때 특정한 기지국 ID를 보고 이 부분이 이상하다 했는데 그게 실제 KT망에 없는 장비였다. 이런 부분을 확인하고 차단할 수 있는 방법을 찾아서 현재 완벽하게 차단을 했다. 그래서 실제 현재는 전혀 그런 시도가 없는 상태다."

-KT가 자체 집계한 278건과 1억7000만원 피해는 어떤 근거로 산출했나?

(KT 관계자) "저희가 어제 자 기준으로 6시 기준으로 집계했던 부분은 KT 고객센터에 피해 신고로 문의한 고객 인입 회선 수다. 그래서 그 건이 177건이고, 계속 업데이트되는 상황이라고 보면 될 것 같다. 278건에 대해서는 불법 초소형 기지국에 노출된 것으로 의심했던 잠재적인 피해 대상자로 특정한 것이다."

-불법 초소형 기지국이 동시다발적으로 잡힌 건가? 해외 조직범죄 성격은 있나?

"동남아시아 등 해외 사례에 대해 연관성이 있는지 경찰에서 조사를 할 것으로 생각이 된다. 과기부도 조사 과정에서 그런 것들을 살펴볼 계획이다. KT에 접수된 민원, KT가 통화 기록을 바탕으로 등록되지 않은 장비의 ID를 확인하는 것, 경찰 수사나 신고된 건 등을 종합해서 판단해야 되기 때문에 동시다발적 발생에 대해서는 사실관계 확인이 더 필요하다."

-5일에 최초 피해가 발생했는데 이상 신호를 인지하는 것이 3일이나 걸린 것이 일반적인가?

(구재형 KT 본부장) "처음에 KT가 호 단위로 분석을 해서 특정 패턴을 인지하는 데 반나절 정도가 걸렸다. 그 이후 KT가 새벽부터 발생 콜을 막기 시작했다. 그게 효과가 있다는 걸 확인하고 5일 낮부터 시스템이 자동적으로 막는 기능을 개발하기 시작했다. 추가적으로 모든 시스템에서 그런 타입이 들어오는 거를 2중, 3중 체크해서 각 시스템 단위로 막는 기능을 토요일까지 (구축) 완료했다.

그 이후 세부적으로 전체 호를 들여다보니까 일부 고객에 대해서 이상한 ID가 보였다. 그 부분에 대해서 인지하느라 3일 정도 걸렸다."

-기지국 ID가 기존에 등록되지 않았던 게 접속해서 코어망까지 들어간 건데 그 과정이 어떻게 가능했나?

"이 부분에 대해서는 합동조사단을 통해서 면밀하게 분석을 해야 한다. 지금 KT도 그런 의문점들에 대한 명쾌한 분석이나 메커니즘 설명이 안 되고 있다. 어떻게 인증되지 않은 단말이 코어망에 접속이 가능했는지, 여러 가지 키값이나 인증 절차들이 있는데 이게 어떻게 소액결제까지 가능했는지, 이런 부분에 대한 조사가 철저하게 돼야 할 것 같다. 조사 과정에서 밝혀질 것으로 생각된다."

-278건 중 이용자에게 알려진 건지 모르고 있을 가능성도 있나?

(KT 관계자) "278건에 1억7000만원이다. 기존에 고객센터로 들어왔던 128명의 (피해) 고객 외에도 실제적으로 좀 더 전체적으로 모수가 더 커질 수 있는 가능성을 감안해서 분석했다. 그분들은 아직 피해 사실을 인지하지 못했을 수도 있다. 따라서 KT가 오늘부터 직접 아웃바운드로 개별 연락해 실제로 피해 사실이 있는지를 확인하고, 발생 피해에 대해서는 전액 보상 조치해 납부가 되지 않도록 진행하고 있다."

-기존의 등록되지 않은 초소형 기지국을 정기적으로 모니터링하는 과정이 있었나?

(구재형 KT 본부장) "KT가 운용하는 기지국들은 정확하게 관리되고 있다. 이번에 KT 관리시스템에 없는 (기지국의 경우) 실제 ID만 보였지 실체를 아직 모르고 있다. (현재) ID만 확인하고 막은 상태라서, 이 부분은 조사 결과가 나와서 결과가 나오면 더 답변을 드릴 수 있겠다."

-KT가 어제 개인정보 해킹 정황은 없다고 했는데 정부는 개인정보 해킹 정황도 염두에 두고 있나?

"개인정보 유출 정황과 관련돼서는 개인정보보호위원회에서 별도로 조사를 할 계획인 것으로 알고 있다. (악의적인 공격자가) 개인정보를 어디서 어떤 방식으로 획득했는지에 대해 면밀한 조사가 필요한 것 같다."

-KT 전체 가입자들에 문자 고지 등을 할 의향이 있나?

(KT 관계자) "이번 무단 소액결제 피해 발생 사실에 대해서는 웹사이트에 팝업 형태로 출력했다. 개별 고지는 내부적으로 검토해서 말씀드리겠다."

-알뜰폰 통신사도 피해가 발생했나?

(KT 관계자) "177건 중 알뜰폰 고객 31건이 포함돼 있다. 저희 고객센터로 인입되는 게 아니고 알뜰폰 사업자로부터 저희가 받은 자료 기준이다."

(구재형 KT 본부장) "알뜰폰 회선 고객도 저희 망은 무선망은 같이 사용하고 있기 때문에 똑같이 피해를 봤다."

-과기부가 SKT한테 했던 것처럼 KT 피해 고객을 대상으로 위약금 면제나 일일 브리핑 같은 권고조치를 검토하고 있나?

"민관합동조사단 조사 결과에 따라서 판단하겠다. SK텔레콤에 대해서도 조사를 진행하는 과정에서 사태의 심각성을 계속 확인하면서 과기부가 대책 등을 중간 발표하고 말씀드렸다. 이번 조사를 통해서도 필요한 부분들을 검토해 나갈 계획이다."

-보안 전문가들이 'KT의 기존 초소형 기지국이 해킹된 것 아니냐'는 가능성을 제기하는데?

(구재형 KT 본부장) "기존 KT 망에 연동된 장비는 전혀 이상 없음을 확인했다."

-ARS 인증에 피해가 집중됐는데 조치를 취하는 건 없나?

(관계자) "현재 조사가 더 필요한 부분이지만, 일부 ARS 인증이 문제가 됐다. 지금 통신사와 이야기해서 결제 과정 중에서 좀 더 강화된 방법을 사용하는 방안에 대해 검토하고 있다."

-펨토셀 같은 경우 알리에서도 구매 가능하고 별도 등록 없이도 사용이 가능한데 규제 미비점이 있던 게 아닌가?

"펨토셀 관련된 부분은 이번에 조사해서 규제적으로 보완할 부분이 있는지는 확인하고 대책을 강구하겠다."

-KT에서 유심 해킹 정황은 없다고 단언했는데 그 근거는?

(구재형 KT 본부장) "불법 무선 장치가 있었던 걸로 보여서 유심 해킹과는 상관이 없다고 보고 있다."

-ARS 인증 시도만 이뤄졌나? 다른 인증 시도 공격도 있었나?

(관계자) "상품권 사이트에서 ARS 인증으로 발생한 결제 등의 피해가 발생한 것으로 확인됐다. 나머지 결제 인증 방법은 아직까지 확인되지 않았다."

-통신사가 매년 정보보호 취약 점검을 진행하는데 KT가 가상 기지국에 대한 대응이나 준비가 있었나?

(구재형 KT 본부장) "흔히 말하는 페이크 기지국이라고 자주 나오는 그런 부분에 대해서는 준비하고 있었다. 조사 결과가 나오면 KT가 어떤 부분(이 문제)인지는 확인이 가능할 것 같다. 기존에는 관리시스템이 정상적인 기지국과 관리되지 않는 기지국을 주기적으로 체크하고 있다. 이번 사건을 통해 관리되지 않은 것들을 완전히 차단했다."

-일부 피해 보고 사례 중에 카카오톡 로그아웃 사례도 있었는데?

(관계자) "실질적으로 확인한 건 없다. 민관합동조사단을 운영하면서 확인할 예정이다."