[디지털투데이 이진호 기자 KT 고객 대상으로 일어난 무단 소액결제 사고 실마리가 여전히 안갯 속이다. 사고 발단으로 지목된 '초소형 기지국'이 KT 망에 연결된 과정을 비롯해 소액결제까지 이어진 흐름이 뚜렷하지 않다.

16일 과학기술정보통신부와 KT에 따르면 이번 사고는 초소형 기지국, 이른바 '펨토셀'과 연관됐을 것으로 분석되고 있다. 초소형 기지국은 통신사가 음영지역 해소나 트래픽 밀집 문제를 해소하기 위해 메인 기지국 인근에 배치하는 장비다. 

KT 측은 최근 기자회견을 통해 자체조사 결과 불법 초소형 기지국을 통한 일부 고객 IMSI 유출 정황이 나왔다고 밝혔다. 총 2대의 불법 초소형 기지국에 1만9000명이 접속한 가운데 5561명의 IMSI 값 유출 가능성이 확인됐다. 

특히 이 불법 초소형 기지국 출처는 여전히 미스테리다. KT는 불법 초소형 기지국 ID가 KT 양식을 따르지만 관리시스템에는 등록된 기기가 아니라고 밝혔다. 하지만 KT 망과 연동됐던 흔적이 발견되면서 해당 기지국 출처에 대한 의문이 제기된다.  

전문가들은 과거 KT 전산에 등록된 초소형 기지국 가운데 폐기분이 이번 사고에 악용됐을 것으로 분석한다. 한 보안 관련 학과 교수는 "기존에는 해커가 인터넷이나 별도 제작을 통해 초소형 기지국을 제작했을 것으로 예측됐지만 ID가 부여됐던 기기라면 이야기가 다르다"며 "한 번 폐기된 초소형 기지국을 구해 범행에 이용했을 가능성이 있다"고 말했다. 

KT 측도 이 같은 가능성에 무게를 뒀다. 최근 기자회견에서 KT 측은 "(초소형 기지국) 장비 ID 분석 결과 관리시스템에는 존재하지 않았다"며 "철거가 안 된 제품이 도용되는 등 여러가지 경우를 생각해볼 수 있다"고 말했다.

KT는 현재 전국에서 초소형 기지국 15만7000대를 운영하고 있다. KT는 사고가 알려진 이후 관련 전수조사를 진행했고, 관리 시스템에 등록되지 않은 기지국은 개통되지 않도록 조치했다. 

KT는 사용자 단말이 초소형 기지국 위치 인증을 하는 과정에서 IMSI가 유출된 것으로 추정한다. 유출 가능성이 확인된 고객 5561명은 모두 LTE 사용자다. LTE는 고객이 단말 전원을 껐다가 켜면 기지국에 IMSI를 전송한다. 5G 보안 아키텍처는 가상 번호(GUTI)를 사용해 IMSI가 노출되지 않도록 방지하기 때문에 이번 사고에서 벗어날 수 있었다. 

KT는 일단 코어망 해킹에는 선을 그었다. 하지만 실제 소액결제가 진행된 ARS 인증 탈취에 대해서는 명확한 답을 내놓지 못했다. KT 측은 "IMSI 유출과는 별도의 사안으로 보고 조사를 진행하는 중"이라고 밝혔다. 

업계는 초소형 기지국은 빙산의 일각이라는 추측도 내놓고 있다. 박춘식 아주대 사이버보안학과 교수는 "아주 미묘한 상황"이라며 "(피해자 단말) 디지털 포렌식 등 다각적인 조사가 이뤄져야 진상이 밝혀질 것"이라고 말했다. 

한 업계 관계자는 "지금까지 확인된 것이 초소형 기지국 관련일 뿐 더 근본적인 원인이 있을 수 있다"며 "조속한 민관합동조사단 조사로 원인이 밝혀져야 할 것"이라고 말했다.

• [핀테크핫이슈] 금융감독체계 개편 혼란...내부 반발에 인재 유출 '비상'
• 컴투스 '더 스타라이트' 18일 출격…정체된 실적 반등 분수령
• 이더리움 재단, AI 에이전트 결제 지원 전담팀 띄운다
• 코인베이스 레이어2 베이스, 토큰 발행 본격 검토
• 암호화폐 지갑 메타마스크, 스테이블코인 mUSD 출시