KT 소액결제 피해 미궁…패스·카톡 인증 뚫렸나

새벽 시간대 집중 피해…복제폰·중간자 공격 설 난무
통신·인증 체계 취약성 드러나…경찰·KT 조사 확대

KT 광화문 빌딩 [연합뉴스 자료 사진]

(서울=연합뉴스) 박형빈 기자 = KT 가입자들을 대상으로 새벽 시간대에 소액결제 피해가 집중적으로 발생한 지 수일이 지났지만 범행 수법은 여전히 오리무중이다.

특히 피해자들이 자신도 모르는 사이 본인 인증 앱 '패스'(PASS)와 카카오톡 계정까지 조작당한 정황이 포착되면서 복제폰, 중계기 해킹 등 다양한 가능성이 제기되고 있다.

단순한 소액결제 피해를 넘어 통신·인증 시스템 전반의 취약성을 드러냈다는 점에서도 파장이 예상된다.

9일 경찰과 KT 등에 따르면 피해는 지난달 말부터 이달 초 경기 광명시와 서울 금천구에서 집중됐고, 모두 새벽 시간대에 발생했다는 공통점이 있지만 구체적인 원인은 확인되지 않았다.

초기에는 지역 기반 악성코드가 숨겨진 앱을 통한 스미싱 가능성이 제기됐으나, 현재까지 관련 정황은 확인되지 않았다.

일부 피해자들이 카카오톡 메신저에서 강제 로그아웃됐거나 본인인증 서비스 '패스'(PASS) 앱이 통제됐다고 진술한 점도 의문을 키우고 있다.

한 피해자의 PASS 인증 내역을 보면 지난달 27일 새벽 4시 9분께 상품권 판매 사이트에서 문자 인증을 받았다는 이력이 남아있지만, 그의 휴대전화에는 관련 인증이 날아오지 않았다고 한다. 단순 결제를 넘어 인증 체계 자체가 우회된 흔적이 발견된 셈이다.

한 보안 전문가는 "문자 인증이 오지 않았다면 ARS 인증이 이뤄졌을 가능성이 크다"며 "복제폰이 아니면 이런 경우가 발생하기는 어려워 보인다"고 말했다.

카카오톡 로그아웃을 경험한 피해자에 따르면 카카오는 "고객의 휴대전화 번호로 새로운 카카오톡이 가입된 것으로 확인된다며 가입을 위한 ARS 인증까지 정상적으로 완료됐던 이력이 확인된다"고 설명했다.

외국계 보안회사 임원은 "정확한 원인 규명을 위해 추가 조사가 필요하다"면서도 "중간자 공격(MITM·사용자와 앱 간 통신 과정에 침입해 정보를 탈취하는 방식) 가능성도 지울 수 없다"고 말했다. 이는 지난달 31일 넥슨 온라인 게임 '블루 아카이브'에서 발생한 사례이기도 하다.

다만 복제폰 가능성은 작다는 견해도 있다.

한 보안업계 대표는 "복제폰은 유심까지 동일하게 복제하고 다량의 개인정보를 확보해야 하는 등 공격자 입장에서 현실적으로 고난도의 해킹"이라고 말했다.

피해자들의 개통 경로가 모두 제각각인 점, KT를 포함한 이통사들이 모두 '비정상 인증 시도 차단 시스템'(FDS)을 가동하고 있다는 점도 복제폰 가능성을 낮게 보는 이유다. FDS는 동일한 번호로 다른 기기가 접속하려 할 경우 망에서 이를 자동 차단하는 기능이다.

사건을 둘러싼 여러 의구심도 있다. 또 다른 보안 전문가는 "기지국 해킹이나 중간자 공격을 감행할 정도라면 발각 위험을 감수해야 하는데, 단순히 소액결제만 노렸다는 점은 합리적으로 설명되지 않는다"고 말했다.

통신업계 관계자도 "상품권 결제라면 결국 현금화 과정에서 환전 기록이 남을 수밖에 없고, IP 추적 역시 어렵지 않아 범인을 쉽게 잡을 수 있다"며 "침입 방식은 잘 포장했을지 몰라도 이후 처리 과정이 너무 단순해 의문"이라고 지적했다.

사건을 수사 중인 경기남부경찰청 사이버수사대는 중계기 해킹 등 여러 경로의 해킹 가능성을 열어두고 통신사, 결제대행업체, 상품 판매업체 등을 폭넓게 들여다볼 방침이다.

KT는 지난 6일 추가 피해를 방지하기 위해 상품권 판매업종 결제 한도를 100만원에서 10만원으로 일시적으로 축소한 데 이어 이날 오후 공지에서 "고객이 의심 사례로 KT에 신고하신 사항에 대해 확인을 통해 피해 금액이 납부되지 않도록 사전 조치를 하고 있다"고 밝혔다.

binzz@yna.co.kr

▶제보는 카톡 okjebo