최근 발생한 KT 소액결제 해킹 사건과 관련해 KT가 일부 고객의 개인정보(IMSI) 유출 사실을 인정하고 사과했지만, 사건의 전말은 여전히 오리무중이다. KT는 불법 초소형 기지국(팸토셀)을 해킹의 원인으로 지목했으나, 범행 수법과 책임 소재를 둘러싼 핵심 의문들은 해소되지 않은 채 남아있다.

14일 국회 과학기술정보방송통신위원회 소속 황정아 의원이 KT로부터 제출받은 자료에 따르면 KT 전담고객센터로 접수된 소액결제 관련 문의는 11일 오후 시 기준 총 9만2034건에 달한다. 또 KT는 황 의원이 요구한 '지난달 27일부터 열흘간의 소액결제 이용자 수, 이용 금액 등'에 대한 자료에 대해 "월별 관리중으로 정확한 현황을 추출하지 못한다"는 답변을 회신했다.

황 의원은 "로그기록과 요금이 모두 시스템상 남아있음에도 전체 소액결제 거래 현황은 파악할 수 없다는 KT의 의문스러운 태도가 결국 해킹 피해 규모를 축소하기 위한 것 아니냐"며 "과기부가 직접 소액결제 내역을 파악해 실제 피해 규모가 얼마나 되는지 명명백백히 밝히고 축소 은폐 행위에 대해 강력한 제재를 가해야 한다"고 강조했다.

◆의문 1. 범인은 어떻게 금전적 이득을 취했나

경찰과 KT에 따르면, 해커는 탈취한 정보로 티머니 충전이나 상품권 구매 같은 소액결제를 시도했다. 하지만 여기서 상식적으로 이해하기 힘든 지점이 발견된다.

◇이득 없는 티머니 충전: 휴대폰 소액결제로 티머니를 충전하려면 본인인증이 필수적이다. 즉, 해커는 피해자의 돈으로 '피해자 명의'의 티머니 카드를 충전해준 셈이 된다. 해커가 직접적인 금전적 이득을 얻을 수 없는 구조다. '선물하기' 기능으로 타인에게 넘길 수는 있지만, 범죄 수익을 현금화하기엔 매우 번거로운 방식이다.

◇엇갈리는 설명: KT 측은 "실제 물품 구매 등 (해커가) 돈을 쓴 경우는 확인되지 않았다"고 설명했다. 반면, 한국인터넷진흥원(KISA)은 "해커가 금전적 이득을 봤다"고 밝혀 양측의 설명이 엇갈리고 있다.

만약 해커가 상품권 등을 구매해 현금화했다면 자금 추적을 통해 범인 특정이 용이해진다. 하지만 그런 정황이 뚜렷하지 않다면, '왜 이런 비효율적인 범죄를 저질렀는가'라는 근본적인 의문이 남는다.

◆의문 2. 불법 기지국만으로 소액결제가 가능한가

KT는 불법 초소형 기지국을 통해 가입자 식별정보인 IMSI가 유출됐다고 밝혔다. 차량에 팸토셀을 싣고 다니며 특정 지역 가입자들의 통신을 가로채는 '워 드라이빙' 수법이 거론된다. 그러나 이것만으로는 소액결제 전 과정을 설명하기 어렵다.

◇추가 개인정보의 필요성: 소액결제를 완료하려면 IMSI 정보 외에도 이름, 생년월일 등 추가적인 개인정보를 입력하고 본인인증을 거쳐야 한다. 불법 기지국은 통신 트래픽을 가로챌 수는 있지만, 그 자체만으로 가입자의 이름과 생년월일까지 알아낼 수는 없다.

◇또 다른 정보 유출 가능성: 이는 해커가 팸토셀 해킹과는 별개의 경로로 이미 피해자들의 상세 개인정보를 확보하고 있었을 가능성을 시사한다. 배경훈 과기정통부 장관 역시 "범인이 추가 개인정보를 갖고 있었다"고 언급했다.

만약 이것이 사실이라면, 이번 사건은 단순한 통신망 해킹을 넘어 KT 내부나 혹은 제3의 경로를 통한 대규모 개인정보 유출 사건으로 비화될 수 있다.

◆의문 3. 왜 KT만 표적이 되었나

유독 KT 고객들에게서만 피해가 집중된 이유도 아직 명확히 밝혀지지 않았다.

◇보안 투자 약속 무색: KT는 불과 두 달 전 "정보보호 분야에 5년간 1조 원을 투자하겠다"고 발표했지만, 이번 사건 초기에는 단순 '스미싱'으로 판단하는 등 이상 징후를 사전에 감지하지 못했다.

◇KT만의 취약점 존재?: 해킹 수법이 완전히 규명되지 않았기 때문에, 이번 공격이 KT 통신망의 특정 취약점을 노린 것인지, 아니면 다른 통신사에도 동일하게 적용될 수 있는 수법인지는 미지수다.

류제명 과기부 2차관도 "왜 KT만 당했는지 답을 내놓기 어렵다"며 조사가 더 필요하다는 입장을 밝혔다.

◆전문가 "보여주기식 보안과 정부 책임 회피가 근본 문제"

김승주 고려대 정보보호대학원 교수는 이번 사태가 한국 보안 체계의 구조적 문제를 드러냈다고 지적한다. 그는 '보안 극장 효과'를 언급하며, 망분리처럼 보여주기식 제도에만 의존하고 언론은 추측성 보도에만 매몰돼 국민이 사태의 본질을 놓치게 만들었다고 비판했다.

또한, 민간 기업의 해킹 사고는 대대적으로 다루면서 정부 기관 해킹은 외면하는 '이중 잣대'와, ISMS-P 인증을 받은 기관이 해킹당해도 인증을 내준 정부는 아무런 책임을 지지 않는 현실을 꼬집었다. 근본적인 원인 규명과 책임 있는 대책 대신, 단기적 미봉책만 반복되는 악순환이 계속되고 있다는 것이다.