보안에 ‘알뜰’했던 알뜰폰…안전해질까? [탈탈털털]

황정호 2024. 6. 1. 10:06
음성재생 설정
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

KBS '뉴스9'은 정부와 민간의 다양한 사이버 보안 현황을 점검하고, 사이버 영토에서 안전한 대한민국을 만들고자 연중기획 [사이버 위협 -당신은 안녕하십니까]를 연속 보도합니다. 동시에, 기사에 다 담지 못한 내용을 [탈탈털털]을 통해 공개합니다. 한 번 털리면 또 '털'리고 두 번도 '털'리는 게 사이버 범죄입니다. 그래서 디지털 기사 시리즈 제목이 [탈탈털털]이 됐습니다.


■ '5분 개통' 앞세워 보안엔 인색했던 '알뜰폰'…범죄 조직 '표적'

비대면 개통이 가능한 알뜰폰 홈페이지


알뜰폰이 '대포폰' 범죄에 악용되는 건 하루 이틀이 아니죠. 명의 도용 문제도 그렇습니다. 이번엔 달랐습니다.

제보자가 본인도 모르게 알뜰폰이 개통돼 업체 등에 자초지종을 따져 묻는 과정에서 이상한 점이 발견됐습니다.

알뜰폰은 온라인에서 편하게 개통할 수 있습니다. 신청자와 이용자가 정말 같은지 확인해야 하니까 주민등록번호 등을 적는 1차 인증을 거쳐 네이버나 카카오 전자서명 등 2단계 인증을 거치는데 이 부분을 통과한 거죠. 신청 서류에
버젓이 '네이버 인증 '이 돼 있다 보니 업체 측에 명의 도용됐다고 설명하는 데도 어려움을 겪어야 했습니다.

알뜰폰 사업자와 이동통신 3사 등을 취재하면서 취재진은 알뜰폰 비대면 개통 시스템이 설계부터 잘못됐단 사실을 알게 됐습니다. 실명 여부를 확인하는 ‘1단계 인증 정보’와 ‘2단계 인증 정보’가 서로 같은지 확인하는 최종 확인 과정이 시스템상 갖춰 있어야 했는데 없었습니다.


즉, 1단계 인증 단계에서 ‘A’의 정보(A 이름, A 주민등록 번호 등)를 입력하고 넘어간 뒤 다음 2단계 인증에서는 간단한 해킹만으로 ‘A’의 정보가 아닌 전혀 다른 ‘B’의 정보를 입력하더라도 우회 인증을 해버리면 A와 B를 같은 사람으로 인식하게 돼 있었던 겁니다. 2단계 인증 과정에서 비교적 간단한 해킹 과정이 필요하긴 했지만, 1단계와 2단계 인증 정보가 같은지 확인하는 절차만 있었다면 어림도 없는 일이었습니다. 편리함을 내세워 가입자는 늘어나는데 비용 부담 등을 문제로 방치돼왔던 겁니다. 지난 1월 30일, 첫 보도가 그렇게 시작됐습니다.

[연관 기사]
[사이버위협][단독] “누가 내 알뜰폰을 개통했나?”

https://news.kbs.co.kr/news/pc/view/view.do?ncd=7878980
[사이버위협][단독] “수사 착수·긴급 대책회의…조치 안 하면 영업 정지”
https://news.kbs.co.kr/news/pc/view/view.do?ncd=7878981

■ 주민등록 번호도 바꿔도 계속 '피해' ... 재벌가도 못 피했다

이렇게 개통된 타인 명의 휴대전화가 어디 쓰일까요? 예상대로 휴대전화 명의자가 가진 금융 자산을 탈취하는 도구로 악용되고 있었습니다. 멀쩡하게 쓰던 폰이 하루아침에, 알뜰폰으로 개통돼 전화가 먹통이 되거나 실제로 코인 수백만 원을 털리거나 주민등록번호를 바꾼 피해자도 만났습니다. 재벌 총수나 유명 스포츠 스타, 정치인도 피할 수 없었고 실제 수 십억 원의 자산을 뺏기기도 했습니다.

[연관 기사] [단독] 재벌총수까지 당한 알뜰폰 부정개통…과기부는 ‘점검 중’ [사이버위협]
https://news.kbs.co.kr/news/pc/view/view.do?ncd=7951801

■ 지난해 말부터 분주했던 과기부... 반년 만에 '대책'

지난 1월, 취재가 시작됐고 과기부는 2월까지 문제가 확인된 일부 알뜰폰 개통 사이트의 2단계 인증 보완 대책을 마련하라고 지시했고 개선되지 않으면 영업정지 처분까지 고려한다고 말했습니다. 확인해보니, 일부 업체는 여전히 조치하지 못해 과기부의 권고에 따라 비대면 영업을 잠시 중단했습니다.

[연관 기사] [사이버위협][단독]② 긴급대책회의에 경고까지 했지만…“일부 사업자 개선 안 해”
https://news.kbs.co.kr/news/pc/view/view.do?ncd=7907185

KBS가 4월 추가 보도를 했을 때 과기부는 4월 말까지 알뜰폰 업체들의 개선 조치에 대해 이중 점검을 진행하겠다고 했습니다. 취재진에게 예고했던 기한을 넘겨 최근까지 점검을 마친 뒤 5월 말에 종합 대책이 나온 겁니다.

핵심은 보안 강화입니다.

▲ 통신3사 가입 신청자 신원 최종 확인
▲ 알뜰폰 업체, 정보보호관리체계 인증 및 정보보호최고책임자 지정

■ 알뜰폰이 쏘아올린 '보안' 비상…줄줄이 다 들여다 봤다


본인 명의 핸드폰이 혹시 개통된 건 아닌지 확인할 수 있는 '엠세이퍼'라는 서비스가 있습니다. 여기서 제공하는 가입 제한 서비스는 통신사 지점 방문 없이 온라인상으로 내 명의로 된 또 다른 폰 개통을 막을 수 있는 서비스입니다. 하지만 취재진이 만난 피해자들 대다수가 여기서 가입했지만, 이것마저 뚫렸던 겁니다. 실제, 취재해보니 엠세이퍼 홈페이지도 본인인증 단계에서 우회인증 보안이 취약하다는 지적이 나와 지난해 말, 긴급 조치를 취했다는 사실을 확인됐습니다.


운전면허 업무를 총괄하는 도로교통공단 사이트, 금융결제원이 운영 중인 계좌정보통합관리 사이트, '어카운트 인포'에 한국철도공사, 코레일의 승차권 예매 웹사이트까지 공격을 받았습니다. 공통점은 공신력 있는 정보가 있어 2차 피해로 이어질 수 있는 예민한 정보들이 있는 곳이라는 점입니다.

디지털이 발달할수록 휴대전화는 일종의 지갑이자 신분증입니다. 취재진이 만난 피해자들은 정상적인 삶을 영위할 수 없을 정도로 피폐해졌습니다. 취재진에게 안전한 사회를 만들어 달라고 몇 번이나 말했습니다.

보안 조치는 결국 돈 문제입니다. 정부가 늦게나마 업체에 부담이 가더라도 휴대전화 등이 국민 삶에 미치는 영향이 크다며 보안 역량을 강화해야 한다고 강조했죠. 그동안 이 허술한 보안 시스템이 암암리에 방치돼왔다는 사실과 그로 인한 큰 피해를 생각하면 과연 우리가 살고 있는 곳이 'IT 강국' 대한민국이 맞나 싶을 정돕니다. 오늘도 범죄 조직은 보안에 취약한 통로를 찾고 있습니다.

온라인이나 휴대전화, PC 등에서 해킹, 개인정보 및 기업정보 탈취 등으로 인한 피해를 본 분들의 제보를 기다립니다.
연락처 hacking119@kbs.co.kr


■ 제보하기
▷ 전화 : 02-781-1234, 4444
▷ 이메일 : kbs1234@kbs.co.kr
▷ 카카오톡 : 'KBS제보' 검색, 채널 추가
▷ 카카오 '마이뷰', 유튜브에서 KBS뉴스를 구독해주세요!

황정호 기자 (yellowcard@kbs.co.kr)

Copyright © KBS. All rights reserved. 무단 전재, 재배포 및 이용(AI 학습 포함) 금지

이 기사에 대해 어떻게 생각하시나요?