[시선집중] 40년 보안 전문가 "KT 소액결제, 해킹보단 '내부자' 소행일 것"

<임종인 고려대 정보보호대학원 석좌교수>
- 소형 기지국 '피코셀' 활용한 공격 가능성
- '해킹'보단 KT 코어망 정보 알고 있는 내부 협력사 소행일 것
- 이동식 위장 기지국? IMSI 캐처 구매 & 세관 통과 어려워
- KT 망에서도 인증된 것만 접속시켜...중앙망 전체 해킹 말 안 돼
- 소형 기지국으로 KT망 장악한 뒤, 문자 가로챘을 가능성
- 이상 거래 못 잡아낸 건 아쉬워...범인 특정은 시간 문제
- 사이버 보험 제도 활성화되는 계기 될 것

■ 방송 : MBC 라디오 표준FM 95.9MHz <김종배의 시선집중>(07:05~08:30)
■ 진행 : 김종배 시사평론가
■ 대담 : 임종인 고려대 정보보호대학원 석좌교수

☏ 진행자 > 시선집중 3부의 문을 열겠습니다. KT 문제 불거진 게 있죠? 가입자를 노린 무단 소액결제 사건이 벌어졌는데 그 수법으로 ‘불법 초소형 기지국’이 지목됐습니다. 하지만 KT 통신망에 어떻게 접속을 했는지 소액결제는 또 어떻게 이루어졌는지 풀어야 할 의문이 많은데요. 임종인 고려대 정보보호대학원 석좌교수 연결해서 진단해 보도록 하겠습니다. 교수님 나와 계시죠?

☏ 임종인 > 네, 안녕하세요. 임종인입니다.

☏ 진행자 > 안녕하세요. 일단 과기정통부가 사고 원인으로 불법 초소형 기지국 통신망 접속 가능성을 제기했는데 어떻게 보세요, 교수님은?

☏ 임종인 > 저도 처음부터, 이 사건을 자꾸 일부에서 해킹 얘기하는데 해킹이라기보다는 소형 기지국, 우리 아파트 단자함이나 옥상에 소형 기지국이 있거든요. 그건 주로 KT에서 인증 받은 소형 기지국이고요. 그게 수시로 협력사 직원들이 주로 가서 점검하고 하는데 그게 한 번에 200~300명 정도까지 접속해서 기지국 노릇을 하는 건데요. 저는 처음부터 내부자 소행이라고 그랬는데,

☏ 진행자 > 내부자?

☏ 임종인 > 네. 내부 협력사, 누가 항상 거기 드나들 수 있잖아요. 그러면 단자함이나 옥상 그런 데 자물쇠 따고 들어가서 경비도 아는 사람이니까 통과시켜주고 거기에 있는 소형 기지국 그걸 피코셀이라고 하는데요. 피코셀을 자기가 살짝 가져온 위장 기지국이죠. 그걸로 원래 있던 걸 비활성화시키고 새로 된 걸 딱 꽂는 거예요. 자기가 가져온 걸 꽂으면 원래 KT 중앙서버 네트워크에서는 새로운 게 접속되면 이게 뭔가하고 불허할 거 아니에요. 그런데 협력사 직원이라고 하면 달라져요. 협력사 직원은 어떻게 하면 중앙네트워크에 코어 네트워크라고 하는데 거기에 연결시킬 수 있는지 비밀번호라든지 인증번호 이런 걸 다 알고 있기 때문에 슬쩍 연결해서 하면 그때부터 불법행위를 다 할 수 있는 거예요.

☏ 진행자 > 근데 교수님의 이런 가설이라면 피해 사례가 발생한 곳이 몇 곳에서 집중이 됐잖아요. 서울 금천구, 경기도 광명시나 부천시, 교수님 말씀대로 만약 내부자라면 이건 추적이 가능하잖아요.

☏ 임종인 > 그렇죠. 저도 처음에는 해킹 가능성을 생각했는데 그게 지금 말씀하신 대로 특정지역에 집중돼 있고 심야 시간대에 집중돼 있고 이런 식으로 돼 있거든요. 그래서 이걸 일부에서 새로운 기지국 장비를 해킹해서 했다고 하는데 해킹해도 그것이 중앙네트워크에 연결되려면 여러 가지 인증서라든지 비밀번호 이런 걸 알아야 되는데 그러면 KT 전체를 해킹했다는 얘기인데 그거는 사실상 불가능해요.

☏ 진행자 > 아, 그래요?

☏ 임종인 > 그리고 요즘 해커들도 항상 해킹 비즈니스로 하거든요. 올해 랜섬웨어 사건 많이 있었죠.

☏ 진행자 > 쉽게 말하면 돈 벌려고 한다 이 말씀이죠?

☏ 임종인 > 예, 돈 벌려고 하거든요. 근데 피해액이 사실 많다고 그래도 2억 원도 안 되잖아요.

☏ 진행자 > 1억 7천쯤이라면서요.

☏ 임종인 > 랜섬웨어 보통 한 번 성공하면 몇 억씩 벌거든요. 그리고 이게 만약에 진짜 해킹이라고 하면 여기 들인 노력이라는 것이 고도의 수법뿐만 아니라 시간도 꽤 걸리는 건데 그럼 소위 말해서 ROI(투자 대비 수익), 수지타산이 안 맞는 거예요. 그리고 특정 시간대에 특정지역에 집중돼 있고 그렇다고 하면, 우리가 시골의 단위농협이나 새마을금고에서 가끔 내부 직원의 사고 터지잖아요. 그런 식으로 내부 협력사 직원의 일탈 행위일 가능성이 제일 높아요.

☏ 진행자 > 간단히 정리를 하면 물론 이건 교수님의 추정이고 가설입니다. 일단 그걸 전제로 하고 소형 기지국을 관리하는 내부자에 의해서 이런 일이 벌어졌을 가능성을 배제하면 안 된다 이런 말씀이신 거고.

☏ 임종인 > 예, 그게 높죠.

☏ 진행자 > 근데 일부 언론 보도를 보니까 해킹을 전제로 해서 이동 운송 수단에 이걸 싣고 가면서 한 것 아니냐 이런 의혹도 제기하던데 이 점은 어떻게 보세요? 현실성은.

☏ 임종인 > 현실적으로 그것도 똑같아요. IMSI 캐처라고 해서 좀 더 큰 장비가 있는데 이거를 구매해서 차에다 싣고 다니면서 근처에다 차 세워놓고 영화에서 보는 식으로 강한 신호를 보내면 휴대폰들이 여기에 다 달라붙거든요. 그래서 할 수 있는데 문제는 아까 말씀드린 IMSI 캐처라고 하는 그거를 구매하는 것도 쉽지 않고요. 그걸 파는 측이 대표적인 미국의 업체가 하나 있는데 그 업체는 악용될 소지가 있으니까 수사기관이나 통신 관계사나 이런 곳에 구매자를 다 조회한 다음에 팔고요. 일부에서는 알리바바 이런 데서 몇 천만원이면 살 수 있다고 하는데 그거 우리 세관 당국에서 통과가 안 될 거예요. 통과가 안 되고 둘째는 이거 잘못 이용하면 전파법 위반으로 징역 3년 형에 처해지고요. 그리고 아까 말씀드린 대로 그거를 가지고 있다고 그래서 되는 게 아니라 이것이 KT의 코어망에 접속이 돼야 되는데 KT망에서는 인증된 것만 접속시키거든요. 어떤 게 새로 접속하려고 시도하면 이게 우리가 인증한 건가 아닌가 보거든요. 근데 인증번호라든지 패스워드를 해커가 알려면 또다시 KT의 중앙망을 해킹해야 되는데

☏ 진행자 > 그것 때문에 내부자를 의심하시는 거군요.

☏ 임종인 > 그렇죠. 그러면 너무 커지는 거예요. 일부에서는 인증을 어떻게 했는지 의심이 간다 그런 얘기가 나오는데, 그것까지 하려면 해커가 몇 개월 노력해야 되는데 얻은 소득은 1~2억원 정도니까.

☏ 진행자 > 쉽게 얘기하면 투입 대비 산출이 안 맞는다 이 말씀이시죠.

☏ 임종인 > 안 맞아요. 안 맞아요.

☏ 진행자 > 근데 왜 소액결제였을까요?

☏ 임종인 > 소액결제는 더군다나 심야 시간대에 사람들이 몇 십만 원 정도 이렇게 소액으로 하는 건 밤중이니까 자고 있는 사이에 이루어졌고 사람들이 소액결제 몇 십만 원 정도는 나중에 뒤늦게 알고 발견 안 된 적이 많고요. 일반적인 소비패턴 특성을 노린 거죠. 그리고 이렇게 소액결제해서 상품권 등을 구매하면 소위 깡을 한다든지 그래서 바로 현금화하기가 쉽잖아요. 그래서.

☏ 진행자 > 그래서. 근데 확인된 278건 모두 ARS 인증을 통해서 결제가 이루어졌다고 그러는데 이건 어떤 의미를 갖고 있는 걸까요?

☏ 임종인 > 그러니까요. 이 사람이 아까 말씀대로 소형 기지국 있잖아요. 이걸 장악을 하면, 휴대폰은 우리 항상 켜놓잖아요.

☏ 진행자 > 그렇죠.

☏ 임종인 > 켜놓으니까 그 휴대폰하고 자기가 장악한 소형 기지국하고 연결됐잖아요. 이 사람을 대신해서 구매 시도를 하는 거예요. 그때 우리가 하는 패스 인증도 있고 카카오 인증도 있고 SMS 인증도 있잖아요. 카카오 인증이나 이런 것들은 자기가 어떻게 할 수가 없어요. 그런데 SMS는 자기가 KT망을 장악하고 있으니까 SMS를 선택하면 오는 문자를 자기가 가로채서 피해자가 알지 못하게 SMS번호 보내고 해서 자기가 사기행위를 할 수 있는 거죠.

☏ 진행자 > 근데 혹시 이런 수법이 이전에도 있었습니까? 해외까지 다 아울러서 볼 때.

☏ 임종인 > 우리나라에서도 처음이고요. 외국에서는 이런 소액결제 이런 사기 피해는 데프콘이라든지 유명한 해킹 컨퍼런스들이 있거든요. 그런 데서 시연을 보인 적은 있어요. 근데 정식으로 이렇게 피해가 난 건 사례가 거의 없는 상황입니다.

☏ 진행자 > 소비자 입장에서는 뭘 어떻게 대처할 수 있는 거예요?

☏ 임종인 > 그게 참 어려운 문제예요. 이번 기회에 자기가 금융 결제 관련된 부분에 있어서는 SMS 결제 있죠. 이걸 당분간 차단해 버린다든가 결제 수단을 저희가 예를 들면 패스 인증이나 카카오 인증이나 이런 걸로만 하고 SMS 인증 안 하겠다 차단을 시켜야 되는데 사실 또 그러면 되게 불편하잖아요.

☏ 진행자 > 그렇죠. 당연히.

☏ 임종인 > 그래서 딜레마인데, 이렇게 애매한 경우에는 사실 KT가 이번에 피해자들 전부 과금 안 하겠다고 그랬잖아요. 외국에서는 이렇게 애매한 부분은 우리가 보험으로 처리하잖아요. 이번에 사이버 보험 제도가 활성화되는 계기가 될 수도 있겠다는 생각을 해요.

☏ 진행자 > 아이고 또 보험 들어야 되는 거예요, 그러면?

☏ 임종인 > 외국에는 많이 하고 있습니다.

☏ 진행자 > KT 대처는 어떻게 평가하세요?

☏ 임종인 > KT가 일부에서는 해킹을 했는데 늦게 신고했다고 막 뭐라고 그러던데 저는 처음 딱 보고 이건 ROI 측면에서 해킹은 아니다. 근데 해킹이면 바로 신고해야 되거든요. 근데 여기서는 소액결제 피해 입은 것 같다 그러니까 스미싱에 속아서 그랬나 보다, 그렇게 생각하고 자체 조사하면서 늦어졌다고 변명을 해요. 그런데 아쉬운 것은 심야 시간대에 같은 아파트 단지 내에서 수십 건의 결제가 이루어졌거든요. 그러면 이거 수상한 행위잖아요. 우리 지난번에도 SKT 사건 났을 때 유심보호서비스, 그리고 FDS라고 그래서 이상거래탐지시스템 이거를 한다고 그랬잖아요. 그러면 이상거래탐지시스템에서 이걸 잡아냈어야 되거든요. 한밤중에 수십 건의 금융결제가 한 아파트 단지에서 이루어진다, 이상한 거잖아요.

☏ 진행자 > 그렇죠. 그렇죠.

☏ 임종인 > 그걸 잡아내야 되는데 FDS 시스템이 부족해서 이걸 못 잡아냈다는 게 아쉽고, 그리고 이건 해킹보다 내부 통제 실패죠.

☏ 진행자 > 내부인 소행이라고 전제하면.

☏ 임종인 > 네, 내부인 소행이라고 전제하면 근데 저는 보안만 40년 했는데 이건 거의 틀림없이 해킹 아니에요. 그리고 범인 지금 조사하고 있다고 그랬잖아요. 어떤 특정 아파트 단지라든지, 제 가설이 맞다고 하면 해커가 물리적으로 접속을 했을 거 아니에요. 그러다 보면 CCTV라든지 경비원 증언이라든지 여러 가지 하면 결국은 범인이 특정이 될 거예요. 해킹이라고 하면 중국이나 동남아시아에서 접속했을 거 아니에요. 그러면 그건 사실 잡는 건 거의 불가능한 거고요. 여러 가능성을 조사하고 있는데 이건 물리적으로 접근하지 않고는 거의 불가능한 사건이에요.

☏ 진행자 > 오히려 교수님 말씀대로라고 한다면 피해가 집중됐던 금천구나 광명시나 부천시에 있는 기지국을 관리하는 사람들이 한정이 되어 있을 테니까.

☏ 임종인 > 그러니까 훨씬 쉽게 어떻게 보면 특정 지을 수 있을 거예요.

☏ 진행자 > 아무튼 내부인의 소행 가능성을 염두에 두고 조사를 해야 된다, 이건 수사까지 가야 되는 그런 성질의 문제가 되겠네요.

☏ 임종인 > 그렇죠. 그래서 KT도 어제 수사 의뢰를 했던 거고요. 그리고 어제 과기정통부 차관께서도 발표하실 때 소형 기지국 얘기하셨잖아요. 그래서 여러 가지 전문적인 것을 볼 때 해킹 가능성을 완전히 배제할 수는 없는데 그건 거의 가능성이 낮고 내부인이 개입됐을 가능성이 크다 이거죠.

☏ 진행자 > 알겠습니다. 오늘 말씀 여기까지 들어야 될 것 같네요. 고맙습니다. 교수님.

☏ 임종인 > 고맙습니다.

☏ 진행자 > 임종인 고려대 정보보호대학원 석좌교수였습니다.

[내용 인용 시 MBC <김종배의 시선집중>과의 인터뷰 내용임을 밝혀주시기 바랍니다.]
저작권자(c) MBC (www.imnews.com) 무단복제-재배포 금지