“KT 소액결제, 해킹보단 ‘내부자 범행’ 무게”

▲서울 종로구 KT 광화문 사옥 (뉴시스)

KT 가입자를 대상으로 발생한 무단 소액결제 사건의 원인과 관련해 임종인 고려대 정보보호대학원 석좌교수는 “해킹 가능성은 낮고 내부 협력사 직원의 개입 가능성이 크다”고 진단했다.

임 교수는 11일 MBC 라디오 ‘김종배의 시선집중’에 출연해 이같이 밝히며 “펨토셀 같은 초소형 기지국을 협력사 직원이 위장 기지국으로 교체했을 수 있다”고 말했다.

그는 “새로운 장비가 중앙 서버에 접속하려면 인증서와 비밀번호가 필요하다”며 “이건 KT 전체망을 해킹해야 하는데 사실상 불가능하다. 내부 협력사 직원은 인증번호나 비밀번호를 알 수 있어서 불법 행위가 가능하다”고 설명했다.

특정 지역과 심야 시간대에 피해가 집중된 점도 내부자 가능성을 뒷받침한다고 했다. 임 교수는 “특정지역에 집중돼 있고 심야 시간대에 이뤄진 걸 보면 ROI(투자 대비 수익) 측면에서도 해킹으로 보기는 어렵다”며 “시골 단위농협이나 새마을금고에서 가끔 내부 직원 사고가 터지는 것처럼 내부 협력사 직원의 일탈 가능성이 제일 높다”고 진단했다.

일각에서 제기된 ‘이동식 위장 기지국’ 가능성에 대해서도 회의적 입장을 보였다. 그는 “IMSI 캐처 같은 장비를 차량에 싣고 이동하며 신호를 보낼 수는 있지만 구매부터 어렵고 국내 반입도 사실상 불가능하다”며 “설령 장비를 확보해도 KT 코어망에 접속하려면 인증 절차를 거쳐야 한다. 결국 내부자의 도움 없이는 불가능하다”고 지적했다.

결제 방식과 관련해 그는 “소형 기지국을 장악하면 SMS 인증 문자를 가로채 피해자 모르게 결제가 가능하다”며 “ARS 인증으로 확인된 건도 이와 연계된 방식”이라고 설명했다.

KT의 대응에 대해서는 “심야 시간대에 한 아파트 단지에서 수십 건의 결제가 발생했는데도 이상거래탐지시스템(FDS)에서 잡아내지 못한 것이 아쉽다”며 “이건 해킹보다는 내부 통제 실패에 가깝다”고 평가했다.

임 교수는 “해킹이라면 해외에서 접속했을 가능성이 커 추적이 어렵지만, 이번 사건은 물리적 접속 없이는 불가능하다”며 “CCTV, 경비원 증언 등을 통해 결국 범인을 특정할 수 있을 것”이라고 봤다.