X
KT[030200] 가입자들을 겨냥한 무단 소액결제 사태와 관련해 해커가 범행 도구로 지목되는 불법 초소형 기지국(펨토셀)을 어떤 방식으로 운용했을지도 관심이 쏠린다.
일각에서는 범인이 차량에 펨토셀을 싣고 다니며 네트워크를 가로채는 이른바 '워 드라이빙' 수법을 활용했을 가능성이 있다고 주장한다.
11일 보안업계에 따르면 경기 광명과 서울 금천구 등 인접 지역에 피해가 집중된 것으로 나타나면서, 범인이 장비를 이동식으로 운용하며 트래픽을 가로챘을 수 있다는 분석이 제기된다.
워 드라이빙은 본래 차량에 무선 장비를 싣고 이동하면서 취약한 와이파이 네트워크 등을 탐색·침투하는 행위를 뜻한다. 기동성과 은밀성이 높아 불특정 다수 네트워크가 침해될 위험이 큰 것으로 평가된다. 이번 사건에 적용하자면 용어의 개념을 다소 확장하는 셈이다.
최근 해외에서는 유사 사례가 보고된 바 있다. 지난 4월 일본에서는 차량에 가짜 기지국을 설치해 번화가에서 피싱 메시지를 살포한 사건이 있었고, 같은 달 필리핀 마닐라에서는 중국인이 차량에 '국제모바일가입자식별번호(IMSI) 캐처'를 설치해 운용하다 현지 경찰에 붙잡혔다.
X
보안업계 관계자는 "범인이 펨토셀을 차량이나 개인형 이동장치에 싣고 다니며 범행했을 가능성을 배제할 수 없다"며 "고정 설치보다 이동식이 발각 위험이 상대적으로 낮다고 판단했을 수 있다"고 말했다.
다만 소액결제를 위해서는 개인정보와 인증 체계를 뚫어야 하는데, 이 부분이 완전히 규명된 것은 아니라고 전문가들은 지적한다. 그럼에도 피해자들을 특정한 방식은 설명될 수 있다는 것이다.
만약 이 방식이 사실일 경우 수사에도 단서가 될 수 있다. 폐쇄회로(CC)TV나 차량 블랙박스 영상 분석을 통해 사건 발생 시점에 피해 지역에 장시간 정차했거나 반복적으로 출몰한 차량을 특정할 수 있기 때문이다.
반면 윤주범 세종대 정보보호학과 교수는 "워 드라이빙도 가능성은 있지만, 이동할 수 있었다면 유동 인구가 많은 강남 등지에서 활동했을 것"이라며 "광명과 금천에 피해가 집중된 것은 취약 지역에 펨토셀을 고정 설치해 가입자 신호를 잡았을 가능성이 크다"고 말했다.
윤 교수는 "해커 입장에서는 장시간 머무르는 편이 유리하지만, 준비가 충분했다면 잠깐 접속한 순간에도 변조나 가로채기가 이론적으로 불가능하지는 않다"고 덧붙였다.
한편 당국은 전날 추가 피해 발생은 없는 것으로 확인됐으며 같은 소액결제 피해가 있을 경우 금액을 청구하지 않기로 했다고 발표했다.
그러나 피해자들의 불안은 가시지 않고 있다. 피해자들이 모인 단체 대화방에는 '새벽 시간 다른 지역에서 자신의 사회관계망서비스(SNS) 로그인 시도가 있었다' 등 불안을 호소하는 반응이 이어지고 있다.
경찰은 피해자들의 휴대전화가 무단 소액결제뿐 아니라 악성 앱, 코드 등에 감염된 것이 아닌지 파악하기 위한 포렌식도 진행하고 있다.
다만 포렌식 작업에 수일이 소요돼 업무 등으로 휴대전화를 제출할 수 없는 피해자들은 불안감이 크지만 쉽사리 포렌식을 선택하지 못하는 실정이다.
KT는 오는 12일부터 소액결제 시 문자메시지(SMS), 전화(ARS), 본인 인증 앱 '패스' 등으로 제공되던 보안 인증 방식을 패스로 일원화하기로 했다.
자체 파악한 피해자들이 모두 ARS 인증을 통해 소액결제를 당한 점을 고려해 보안 수준이 가장 높은 패스만 사용하게 한다는 판단이다.
다만 일부 피해자들은 소액결제 과정에서 패스 인증이 뚫렸다고 주장하고 있어 조사 결과에 따라 실효성에는 의문이 남을 수 있다.