“KT 서버 해킹·펨토셀 우회”…소액결제 피해 진원지 광명 집중

KT 소액결제 해킹 사건이 경기 광명시를 중심으로 급격히 확산하면서, 해킹·불법 기지국(펨토셀) 우회 기술의 파급력이 IT·통신 산업의 새로운 보안 리스크로 떠오르고 있다. 전체 362건의 피해자 중 233명(64%)이 광명시에서 확인됐고, 서울 금천구와 부천 소사구 등 인접 지역 피해까지 합치면 약 70%가 특정 도시에 집중된 것으로 분석된다. 업계에서는 이번 사건을 국내 이동통신 보안 체계와 정보 인증 관리 경쟁의 분기점으로 보고 있다.

KT는 23일 이번 무단 소액결제 사태 피해자들의 지역별 세부 현황을 처음 공식 집계해 공개했다. 피해자는 주로 수도권 지역에 분포했다. 광명 다음은 서울 금천구(59명), 경기 부천 소사구(22명), 경기 과천시(19명) 순으로 집계됐다. 서울 동작구, 인천 부평구, 고양시 일산동구, 서초구 등에서도 소규모 피해가 보고됐다.

KT 분석에 따르면 피해 지역은 결제 시점의 단말기 인접 위치 기반으로 파악됐다. 경찰 수사 결과, 용의자들은 ‘펨토셀’로 불리는 초소형 이동통신 기지국을 차량에 싣고 이동하며 KT 통신망에 비정상적으로 접속한 것으로 확인됐다. 펨토셀 해킹을 통해 이동통신망을 우회, 자동응답전화(ARS) 등 금융 인증 과정을 교란시켜 피해자 명의로 소액결제를 유도한 정황이 드러났다. 핵심은 펨토셀 불법 접속과 인증 시스템 취약점 동시 활용으로, 기존 통신망 인증 절차를 우회했다는 점이다. 유사한 피해 방식은 해외에서도 보고된 적 있지만, 국내 대형망 사업자에서 이처럼 지역별 집중도 높은 피해가 발생한 것은 처음이다.

특히 기술 원리상 무단 소액결제까지 이어지려면 개인정보 입력, 2차 인증 등 복수 단계가 필요하다. 경찰은 펨토셀 해킹만으로는 설명이 어렵다고 보고, 개인정보 유출 경로나 추가 내부 협력 가능성에 수사 역량을 집중하고 있다.

KT는 최근 자사 서버의 외부 침입 징후 4건과 추가 의심 정황 2건을 정부에 공식 신고했다. 논란이 된 서버는 원격상담시스템으로, 고객 개인정보 저장이 없는 구조였다는 점을 강조했다. 그러나 구형 서버 조기 폐기·로그 백업 처리 등이 동시 확인되면서 폐기 시점과 정부 보고 내용 불일치, 글로벌 보안업체의 인증서 유출 정황 제기로 논란이 커졌다.

이와 관련해 국회 과학기술정보방송통신위원회 소속 박충권 의원은 “KT가 폐기 서버의 로그 기록을 별도 백업해 보관한 사실이 드러났다”고 공개했다. KT는 해당 로그를 지난 18일 민관 합동조사단에 추가 공유했다. 현재 피해와 폐기 서버 직접 연관성은 확인되지 않았지만, 정밀 로그 분석 결과에 따라 소액결제 해킹 경로 규명 가능성이 산업계 이목을 끌고 있다.

해외에서도 통신사 펨토셀 해킹, 인증서 유출 등은 보안상 위험 요인으로 꾸준히 경고돼 왔다. 국내에서는 이동통신사 구형 인프라에 대한 보안 검증, 서버 로그의 저장·백업 체계 및 인증 절차 강화가 촉진될 것으로 전망된다. 당국은 KT의 신고 내용을 바탕으로 자산 관리 기준, 로그 기록 보존 규정, 실시간 이상 거래 탐지 의무화 등 추가 대책을 검토 중이다.

전문가들은 “KT 사례처럼 네트워크 인프라 해킹이 실제 금융 피해로 확산한 사례는 정보통신 산업 전체 위험도를 한 단계 높였다”며 “서버 운영·인증 체계 전반에 대한 구조적 보안 강화가 필수 과제로 부상할 것”이라고 내다봤다. 산업계는 이번 보안 실패를 계기로 시장 신뢰 회복과 재발 방지 대책 마련이 실제로 이뤄질지 주시하고 있다.