KT 소액결제 사태에 사용된 불법 초소형 기지국(펨토셀)이 종단 암호화를 해제할 수 있던 것으로 파악되면서 통화, 문자메시지 등 광범위한 도청이 이뤄졌을 것이란 우려가 제기된다.
9일 통신업계에 따르면 KT 해킹 사고를 조사하는 민관합동조사단은 지난 6일 중간 조사 브리핑에서 해커들이 펨토셀을 조작해 자동응답방식(ARS), 문자메시지(SMS) 등 소액결제 인증정보를 탈취했을 가능성을 제시했다. 그간 두 인증수단을 통해 무단 소액결제가 이뤄진 경위가 명확하지 않았으나 이번 발표로 실마리가 잡힌 셈이다.
종단 암호화란 데이터가 통신을 시작하는 단계부터 최종 수신까지 모든 과정에서 암호화를 유지해 중간 서버에서 데이터를 복호화할 수 없도록 하는 방식이다. 이동통신 3사 역시 국제표준화기구와 한국정보통신기술협회 권고에 따라 단말에서 코어망까지 문자·음성 시그널링(통화 시 상대방 식별, 세션 연결·해제 등을 관리하는 정보)을 암호화하고 있다.
예컨대 사용자가 문자메시지를 보내면 원문은 암호화 알고리즘과 키로 변환돼 코어망까지 전송되며 중간 장치에서는 내용을 알아볼 수 없다. 그러나 해커는 펨토셀 단계에서 종단 암호화를 해제할 수 있었고 인증정보를 평문으로 빼돌려 인증·결제에 사용한 정황이 포착된 것이다.
조사단은 펨토셀의 하드웨어·소프트웨어를 자체 개발·조작해 전송되는 내용을 가로채는 기능을 구현할 수 있다고 보고 실험을 통해 입증했다. 다만 구체적인 방식과 기술적 세부 사항은 공개하지 않았다.
이에 문자·음성 통화 등 일반 통신 데이터까지 해커가 접근했을 가능성이 커졌다. 개인 통화·문자 내용이 수집돼 사생활 침해와 개인정보 악용으로 이어질 수 있다는 우려도 나온다.
조사단은 이런 가능성에 대해 전문가 자문 및 추가 실험을 통해 살필 방침이다. 또한 조사단은 “적은 수이긴 하지만 기지국 접속 이력이 남지 않은 소액결제 피해도 일부 있었다”며 “KT의 피해자 분석 방식을 재점검해 누락된 피해자 존재 여부도 확인할 계획”이라고 설명했다.
다만 소액결제에 필요한 이름과 생년월일 등 개인정보가 어떻게 유출됐는지는 여전히 오리무중이다.
KT는 BPF도어(BPFDoor)라는 악성 코드에 지난해 서버 43대가 대량 감염된 사실을 인지하고도 이를 은폐한 것으로 최근 드러났는데 당시 개인정보가 유출돼 소액결제 범행에 결합했을 가능성도 있다.
최우혁 민관합동조사단장(과학기술정보통신부 네트워크정책실장)은 “아직 휴대전화 불법 복제에 필요한 유심키 유출은 확인되지 않았다”면서도 “여러 추가 사고 건과 관련성이 있는지 면밀하게 살펴볼 예정”이라고 말했다.
KT는 이번 중간 조사 발표와 관련해 “결과를 엄중하게 받아들이며 지연 신고에 대해 송구하다”며 “무단 소액결제 사태 이후 검증되지 않은 프로그램 실행을 차단하는 보안 기능을 추가하고 네트워크 및 보안 인프라에서 발생하는 모든 데이터를 하나의 통합 관제 체계에서 관리하는 등 전사적인 대응 체계를 구축하고 있다”고 해명했다.
이화연 기자 hylee@segye.com
