KT 펨토셀 해킹에 일반 통화·문자까지 뚫렸나

무단 소액결제 뿐만 아니라 대규모 사생활 노출사고 가능성 제기 KT 무단 소액결제 사태에 사용된 불법 초소형 기지국(펨토셀)이 종단 암호화를 해제할 수 있었던 것으로 확인되면서, 소액결제 피해를 넘어 문자·통화 등 일반 통신 데이터까지 노출됐을 가능성이 제기되고 있다. KT 해킹 사고를 조사하는 민관 합동조사단은 지난 6일 정부서울청사에서 열린 중간 조사 브리핑에서 해커들이 펨토셀을 이용해 자동응답방식(ARS)이나 문자메시지(SMS) 등 소액결제 인증정보를 빼돌렸을 가능성을 제시했다. 그간 두 인증수단을 통해 무단 결제가 이뤄진 경위가 명확하지 않았으나 이번 발표로 실마리가 잡힌 셈이다. 종단 암호화는 데이터가 통신을 시작하는 단계부터 최종 수신까지 모든 과정에서 암호화를 유지해 중간 서버에서 데이터를 복호화할 수 없도록 하는 보안 기술이다. 이동통신 3사는 국제표준화기구(ISO)와 한국정보통신기술협회(TTA) 권고에 따라 문자·음성 시그널링(통화 시 상대방 식별, 세션 연결·해제 등을 관리하는 정보)을 암호화하고 있다. 예를 들어 이용자가 문자를 보낼 경우, 메시지는 암호화 알고리즘과 키로 변환돼 코어망으로 전달돼 중간 단계에서는 원문을 알아볼 수 없다. 그러나 조사 결과, 해커는 펨토셀 단계에서 종단 암호화를 해제할 수 있었고, 이 과정에서 인증정보를 평문으로 추출해 무단 결제나 인증 절차에 악용한 것으로 파악됐다. 조사단은 해커들이 펨토셀의 하드웨어와 소프트웨어를 자체 개발·조작해 전송 데이터를 가로채는 기능을 구현했을 가능성이 높다고 보고, 모의실험을 통해 이를 입증했다고 설명했다. 다만 구체적인 공격 방식이나 기술적 세부 사항은 공개하지 않았다. 이로 인해 문자나 음성통화 등 일반 통신 데이터가 노출됐을 가능성이 강력 제기된다. 해커가 이용자의 통화 내용이나 문자 메시지를 수집할 수 있었다면, 이는 단순한 결제 피해 차원을 넘어 광범위한 사생활 침해와 개인정보 유출로 이어질 수 있다. 이번 사건이 무단 소액결제에 그치지 않고 대규모 사생활 노출 사고로 번질 수 있다는 의미다. 보안 전문가들도 가능성을 완전히 배제하기 어렵다는 입장이다. 김용대 카이스트 교수는 "데이터, 문자, 통화는 각각 다른 방식으로 전송되는데, 일반 데이터는 따로 암호화가 추가로 돼 (평문으로 읽을 수 없지만) 문자와 음성은 가능할 수 있다"고 지적했다. 한 보안업계 관계자도 "인증용 문자·전화의 발송 메커니즘이 일반 문자·전화와 다르지 않다면 다른 정보에도 접근했을 가능성이 있다"며 "특정 조건이 갖춰진 상황에서 코어망으로 향하기 전 트래픽을 바꿔치기했을 수도 있다"고 분석했다. 조사단은 이러한 우려를 검증하기 위해 전문가 자문과 추가 실험을 진행할 계획이다. 한편 소액결제에 필요한 이름과 생년월일 등 개인정보가 어떤 경로로 유출됐는지는 여전히 명확히 밝혀지지 않았다. 지난해 KT 내부 서버가 BPF도어라는 악성코드에 감염됐음에도 회사가 이를 외부에 신고하지 않고 자체적으로 처리한 사실이 최근 드러나면서 두 사건의 연관성이 제기된다. 당시 KT는 지난해 3~7월 사이 BPF도어, 웹셸 등 악성코드 감염 서버 43대를 발견했지만 정부 보고 없이 자체 조치에 그쳤다. 이 서버 중 일부에는 성명, 전화번호, 이메일주소, 단말기 식별번호(IMEI) 등 개인 정보가 저장돼 있었던 것으로 알려졌다. 최우혁 민관합동조사단장(과학기술정보통신부 네트워크정책실장)은 "아직 휴대전화 불법 복제에 필요한 유심키 유출은 확인되지 않았다"면서도 "여러 추가 사고 건과 관련성이 있는지 면밀하게 살펴볼 예정"이라고 말했다. 이혜선 기자 hslee@dt.co.kr