.gif)
[보안뉴스 조재호 기자] KT 소액 무단결제 사건이 흔히 ‘펨토셀’로 불리는 초소형 기지국을 악용한 것으로 윤곽이 잡혀가고 있다. 하지만 국제이동가입자식별정보(IMSI) 이외의 개인정보 유출이나 ARS 결제 인증 과정, 해커의 정체와 목적 등은 여전히 의문이다. KT의 허위 보고와 초기 대응에 대한 아쉬움도 남아있다. <보안뉴스>는 현 상황에서 남아있는 의문점들을 정리해 봤다.
▲ 서울시내 KT 대리점의 모습 [자료: 연합]
범행 도구로 지목된 초소형 기지국 ‘펨토셀’ 얼마나 위험한가?
이번 사건 도구로 지목된 ‘불법 초소형 기지국’을 만들 수 있는 장비로 펨토셀이 지목됐다. 펨토셀(femtocell)은 1000조 분의 1을 말하는 펨토와 영역을 의미하는 셀의 합성어로, 반경 10-30m 정도의 작은 지역 음영 해소를 위한 통신망 중계기를 말한다. 집에서 사용하는 ‘인터넷 공유기’의 무선 단말기 전용 버전으로 생각하면 쉽다.
휴대전화는 가장 강한 신호를 보내는 기지국 장비에 자동으로 연결된다. 해커들은 이를 악용해 자신들이 통제하는 기지국으로 단말기와 기지국을 오가는 신호를 가로채 악용한 것으로 추정된다. 펨토셀이 상용화되기 시작한 2010년대 초반부터 네트워크 전문가들은 보안 취약성을 지적해 왔다. 전화번호를 도용해 문자메시지나 통화 내용을 가로챌 수 있기 때문이다.
하지만 여러 안전 장치를 뚫고 어떻게 몰래 정식 통신망에 접속할 수 있었는지는 아직 미지수다. 방치되거나 훔친 기기를 이용했을 것이란 추정이다. 펨토셀은 공장이나 업소 등에 다수의 기기를 설치하는 방식으로 많이 쓰이는 만큼, 사후 관리가 충분히 이뤄지지 않을 가능성도 크다.
국내에서는 이번 사건이 처음이지만, 해외에서는 유사 사례를 쉽게 찾아볼 수 있다. 지난달에도 중국 사기 조직에 고용된 한국인이 가짜 기지국 장비를 실은 차로 태국 방콕 시내를 돌며 스미싱 메시지를 발송하다 체포되는 일도 있었다. 이런 불법 기지국 차량을 활용한 수법을 ‘워 드라이빙’(war driving)이라고 한다.
ARS 집중된 소액결제, 통신 탈취만으로 결제할 수 있었던 배경은?
이번 사건에서 풀리지 않는 의문점은 소액 결제 시스템을 뚫은 방법에 대한 것이다. 소액결제 과정에서 이름과 생년월일을 통한 인증 절차가 필요하기 때문이다. 단순히 통화나 메시지를 가로채는 것만으론 결제 서비스를 온전히 활용하기 힘든 부분이 있다.
이 부분에 대해 기자간담회에서 KT도 명확한 답변을 내놓지 않았다. 현재 회사가 인정한 유출 개인정보 항목은 IMSI 하나다. 불법 기지국 신호를 수신한 고객은 약 1만9000명이며, 이 가운데 5561명의 IMSI 유출 정황을 발견했다고 KT는 밝혔다.
이에 대해 전문가들도 조사가 진행돼 봐야 알 것 같다는 입장이다. 이미 확보된 개인정보를 기반으로 특정 지역 가입자 정보를 추려 활용했다는 추정과 장기간 피해 지역에서 수집한 정보를 기반으로 피해자를 물색했을 가능성 등이 거론된다.
결제 인증 방식이 ARS에 집중된 점도 눈에 띈다. 소액결제 인증에는 ARS 통화, SMS, 패스(PASS) 앱 등이 쓰이는데, ARS가 비교적 인증 과정이 느슨하다는 평가다. 보안 취약점을 잘 알고 있는 내부자 혹은 협력업체 근무자가 연루돼 아직 알려지지 않은 취약점을 악용했을 가능성도 점쳐진다.
[자료: gettyimagesbank]
국내 첫 이동통신망 해킹 사건, 피해 규모는 1.7억?
해커의 정체도 의문이다. 펨토셀 취약점 우려는 10년 전에도 있었고 개인정보도 널리 퍼져 있었다 하지만, 국내 이동통신망을 악용한 대담한 수법 자체는 일반적으로 생각하기 힘든 부분이다.
KT에 따르면 이번 불법 기지국으로 접근한 휴대폰의 수는 2만대에 육박한다. 유동 인구가 많은 수도권임을 감안하더라도 단기간에 수집하기 힘든 수치며, 개인보다 집단 범죄의 가능성이 높아 보인다. 하지만 해킹 규모나 수집한 정보에 비해 피해 규모는 작다. 단순 금전 확보 이외의 가능성도 열어둘 필요가 있다는 의견이 나오는 이유다.
혹은 눈치채기 힘든 작은 규모로 소액결제 범죄 행각이 지속적으로 벌어지고 있었을 가능성도 있다. 가령, 눈치채기 어렵게 1만원 미만 소액으로 다수 휴대폰에서 결제를 진행하는 방식이 있을 수 있다. 휴대폰 요금에 둔감한 이용자를 대상으로 이런 결제 사기 행각이 없었는지 확인할 필요도 있다.
다만, KT에 앞서 초유의 개인정보 유출 사고가 일어난 SKT 유심 해킹 사태에서도 공식적 피해액은 0원이라는 점도 감안해야 한다. 정보 유출 피해는 곧장 드러나지 않는 일도 있으며, 해커들이 꼭 금전만을 노리는 것은 아니기 때문이다.
KT의 아쉬운 대처, 전문가들이 제시하는 해법들은?
이번 KT 소액 무단결제 사건을 두고 한 보안 전문가는 “이동통신망 기지국 점검과 모니터링, 화이트리스트 기반 망 접근 방식의 변화 등 근본적 해결책 마련에 나서야 한다”며 “단지 불법 기지국 악용이나 일반적 개인정보 유출 사건으로 간주해 눈앞의 문제 해결에만 집중할 것이 아니라 강력한 사후 대책 마련에 힘써야 한다”고 조언했다.
이어 “조사가 진행 중인 부분을 감안하더라도 과하다 싶을 정도로 선행 조치를 진행해야 하는 것이 보안 사고 대처의 기본”이라며 “최소한의 가정보다 최악을 생각해 움직이는 것이 필요한 시점”이라고 말했다.
또 다른 전문가는 “연이은 통신사 보안 사고는 비즈니스 논리에 밀린 보안의 입지를 적나라하게 드러낸 것”이라며 “파격적 변화가 없다면 또 다른 보안 사건은 이어질 것”이라고 말했다. 그는 “이번 발표는 개인 사용자 피해 대처에 주로 신경을 쓴 모양새인데, 현재 문제로 지적된 불법 기지국에 대한 상세한 설명이나 개인·기업 입장의 대응 방안에 대한 설명은 부족해 아쉽다”는 반응을 보였다.
[조재호 기자(sw@boannews.com)]
▲ 서울시내 KT 대리점의 모습 [자료: 연합]
범행 도구로 지목된 초소형 기지국 ‘펨토셀’ 얼마나 위험한가?
이번 사건 도구로 지목된 ‘불법 초소형 기지국’을 만들 수 있는 장비로 펨토셀이 지목됐다. 펨토셀(femtocell)은 1000조 분의 1을 말하는 펨토와 영역을 의미하는 셀의 합성어로, 반경 10-30m 정도의 작은 지역 음영 해소를 위한 통신망 중계기를 말한다. 집에서 사용하는 ‘인터넷 공유기’의 무선 단말기 전용 버전으로 생각하면 쉽다.
휴대전화는 가장 강한 신호를 보내는 기지국 장비에 자동으로 연결된다. 해커들은 이를 악용해 자신들이 통제하는 기지국으로 단말기와 기지국을 오가는 신호를 가로채 악용한 것으로 추정된다. 펨토셀이 상용화되기 시작한 2010년대 초반부터 네트워크 전문가들은 보안 취약성을 지적해 왔다. 전화번호를 도용해 문자메시지나 통화 내용을 가로챌 수 있기 때문이다.
하지만 여러 안전 장치를 뚫고 어떻게 몰래 정식 통신망에 접속할 수 있었는지는 아직 미지수다. 방치되거나 훔친 기기를 이용했을 것이란 추정이다. 펨토셀은 공장이나 업소 등에 다수의 기기를 설치하는 방식으로 많이 쓰이는 만큼, 사후 관리가 충분히 이뤄지지 않을 가능성도 크다.
국내에서는 이번 사건이 처음이지만, 해외에서는 유사 사례를 쉽게 찾아볼 수 있다. 지난달에도 중국 사기 조직에 고용된 한국인이 가짜 기지국 장비를 실은 차로 태국 방콕 시내를 돌며 스미싱 메시지를 발송하다 체포되는 일도 있었다. 이런 불법 기지국 차량을 활용한 수법을 ‘워 드라이빙’(war driving)이라고 한다.
ARS 집중된 소액결제, 통신 탈취만으로 결제할 수 있었던 배경은?
이번 사건에서 풀리지 않는 의문점은 소액 결제 시스템을 뚫은 방법에 대한 것이다. 소액결제 과정에서 이름과 생년월일을 통한 인증 절차가 필요하기 때문이다. 단순히 통화나 메시지를 가로채는 것만으론 결제 서비스를 온전히 활용하기 힘든 부분이 있다.
이 부분에 대해 기자간담회에서 KT도 명확한 답변을 내놓지 않았다. 현재 회사가 인정한 유출 개인정보 항목은 IMSI 하나다. 불법 기지국 신호를 수신한 고객은 약 1만9000명이며, 이 가운데 5561명의 IMSI 유출 정황을 발견했다고 KT는 밝혔다.
이에 대해 전문가들도 조사가 진행돼 봐야 알 것 같다는 입장이다. 이미 확보된 개인정보를 기반으로 특정 지역 가입자 정보를 추려 활용했다는 추정과 장기간 피해 지역에서 수집한 정보를 기반으로 피해자를 물색했을 가능성 등이 거론된다.
결제 인증 방식이 ARS에 집중된 점도 눈에 띈다. 소액결제 인증에는 ARS 통화, SMS, 패스(PASS) 앱 등이 쓰이는데, ARS가 비교적 인증 과정이 느슨하다는 평가다. 보안 취약점을 잘 알고 있는 내부자 혹은 협력업체 근무자가 연루돼 아직 알려지지 않은 취약점을 악용했을 가능성도 점쳐진다.
[자료: gettyimagesbank]
국내 첫 이동통신망 해킹 사건, 피해 규모는 1.7억?
해커의 정체도 의문이다. 펨토셀 취약점 우려는 10년 전에도 있었고 개인정보도 널리 퍼져 있었다 하지만, 국내 이동통신망을 악용한 대담한 수법 자체는 일반적으로 생각하기 힘든 부분이다.
KT에 따르면 이번 불법 기지국으로 접근한 휴대폰의 수는 2만대에 육박한다. 유동 인구가 많은 수도권임을 감안하더라도 단기간에 수집하기 힘든 수치며, 개인보다 집단 범죄의 가능성이 높아 보인다. 하지만 해킹 규모나 수집한 정보에 비해 피해 규모는 작다. 단순 금전 확보 이외의 가능성도 열어둘 필요가 있다는 의견이 나오는 이유다.
혹은 눈치채기 힘든 작은 규모로 소액결제 범죄 행각이 지속적으로 벌어지고 있었을 가능성도 있다. 가령, 눈치채기 어렵게 1만원 미만 소액으로 다수 휴대폰에서 결제를 진행하는 방식이 있을 수 있다. 휴대폰 요금에 둔감한 이용자를 대상으로 이런 결제 사기 행각이 없었는지 확인할 필요도 있다.
다만, KT에 앞서 초유의 개인정보 유출 사고가 일어난 SKT 유심 해킹 사태에서도 공식적 피해액은 0원이라는 점도 감안해야 한다. 정보 유출 피해는 곧장 드러나지 않는 일도 있으며, 해커들이 꼭 금전만을 노리는 것은 아니기 때문이다.
KT의 아쉬운 대처, 전문가들이 제시하는 해법들은?
이번 KT 소액 무단결제 사건을 두고 한 보안 전문가는 “이동통신망 기지국 점검과 모니터링, 화이트리스트 기반 망 접근 방식의 변화 등 근본적 해결책 마련에 나서야 한다”며 “단지 불법 기지국 악용이나 일반적 개인정보 유출 사건으로 간주해 눈앞의 문제 해결에만 집중할 것이 아니라 강력한 사후 대책 마련에 힘써야 한다”고 조언했다.
이어 “조사가 진행 중인 부분을 감안하더라도 과하다 싶을 정도로 선행 조치를 진행해야 하는 것이 보안 사고 대처의 기본”이라며 “최소한의 가정보다 최악을 생각해 움직이는 것이 필요한 시점”이라고 말했다.
또 다른 전문가는 “연이은 통신사 보안 사고는 비즈니스 논리에 밀린 보안의 입지를 적나라하게 드러낸 것”이라며 “파격적 변화가 없다면 또 다른 보안 사건은 이어질 것”이라고 말했다. 그는 “이번 발표는 개인 사용자 피해 대처에 주로 신경을 쓴 모양새인데, 현재 문제로 지적된 불법 기지국에 대한 상세한 설명이나 개인·기업 입장의 대응 방안에 대한 설명은 부족해 아쉽다”는 반응을 보였다.
[조재호 기자(sw@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg)