'유령 기지국' 실존...KT 소액결제 해킹, 국내 첫 등장 수법 가능성

9일 한 시민이 서울 kt 판매점 앞을 지나고 있다. kt 가입자들의 집단 소액결제 피해가 발생한 가운데 이번 사건이 결제 카드 정보 도난 등 2차 피해로 이어질 수 있다는 전문가 경고가 나왔다. 연합뉴스

특정 지역 KT 이용자들을 대상으로 한 소액결제 피해가 잇따라 발생한 가운데, 이례적인 해킹 정황이 포착됐다. 영화 속에서나 등장할 법한 '가상 유령 기지국'을 이용한 것으로 추정되는 방식이 실제로 사용된 것으로 추정됐다.

9일 연합뉴스 등에 따르면, KT는 전날 한국인터넷진흥원(KISA)에 침해 사실을 신고하면서 피해 지역 일대 가입자 통화 이력에서 미상의 기지국 ID가 발견했다고 밝혔다. KT는 자체 분석을 통해 광명 지역의 기지국 접속 기록을 조사하던 중, 자사에서 관리하지 않는 수상한 기지국 ID를 확인했다. 이 기지국은 실제 KT에서 운영하지 않는 기지국으로, 해커들이 특정 목적을 위해 가상 기지국을 설치한 것으로 보인다.

이 기지국은 이용자가 인근에 접근할 경우 자동으로 연결되며, 단말기에서 개인정보를 수집하는 방식으로 작동한 것으로 추정된다. 이번 소액 결제사태가 특정 지역에서 무더기로 발생한 것도 이런 방식 때문이라는 설명이다.

전문가들에 따르면 이런 방식은 국내에서는 사실상 처음 확인된 사례다. 보안 전문가들은 이런 가상 기지국을 이동식으로 운용할 경우 언제든 다른 지역에서도 피해가 발생할 수 있다며 우려를 나타냈다.

과학기술정보통신부 관계자 역시 "KT 조사 결과 미상의 기지국이 발견된 것은 사실"이라며 "이번 소액결제가 이 가상 기지국을 이용해 이뤄진 것인지 확인 중"이라고 설명했다. 과학기술정보통신부는 이날 KISA와 민간 전문가를 포함한 민관합동조사단을 구성해 원인 조사에 착수했으며, 경기남부경찰청 사이버수사대도 수사를 진행 중이다.

지난달 말부터 경기 광명·부천, 서울 금천구 등 일대에서 KT 이용자 수십 명이 본인도 모르게 모바일 상품권 구매, 교통카드 충전 등 명목으로 수십만 원씩 결제되는 피해를 입었다. 피해 금액은 현재까지 약 5천만원으로 파악됐다.

익명을 요청한 한 피해자는 "20년간 같은 통신사를 썼고 평소 소액결제를 하지 않는다. 한도가 0원이었는데 밤사이 100만 원으로 한도가 변경되고 상품권 결제가 이뤄졌다"고 밝혔다.

또 다른 피해자는 "새벽 시간에 한도 상향까지 이뤄졌는데 인증 문자나 알림은 전혀 없었다"며 "카카오톡 로그아웃 상태를 보고 이상하게 여겨 확인하다 우연히 발견한 것"이라고 말했다. 그는 "아직 피해 사실을 인지하지 못한 사람들도 많을 것"이라며 추가 피해자 발생 가능성을 우려했다.