KT 이동통신 가입자들을 대상으로 한 새벽 시간대의 소액결제 피해가 계속되면서, 통신과 인증 시스템 전반의 보안 허점이 드러나고 있다. 일부 피해자들은 자신도 모르게 본인 인증 앱인 패스와 카카오톡 계정이 제3자에 의해 조작된 사실을 뒤늦게 인지하며 충격을 호소하고 있다.
문제가 집중적으로 발생한 시점은 지난 8월 말부터 9월 초 사이로, 지역적으로는 경기 광명시와 서울 금천구에 피해가 몰렸다. 경찰과 KT에 따르면 피해 시점이 모두 새벽 시간대였다는 공통점은 있지만, 정작 범행 수법이나 경로는 아직 뚜렷하게 밝혀지지 않고 있다. 당초에는 악성코드가 숨겨진 앱을 통해 개인정보가 탈취되는 스미싱 가능성이 제기됐으나, 조사 결과 스미싱 징후는 확인되지 않았다.
특히 몇몇 피해자들이 카카오톡에서 갑작스럽게 로그아웃됐으며, 패스 앱을 사용할 수 없게 되는 등의 이상 징후를 경험하면서 사건의 양상이 평범한 결제 피해를 넘어서고 있다는 지적도 나온다. 예컨대 한 피해자는 자신이 전혀 접근하지 않았던 상품권 판매 사이트에서 본인 인증이 진행됐으나, 정작 인증 문자 메시지는 받지 못했다고 진술했다. 이는 인증 절차가 정식 경로를 우회해 이뤄졌을 가능성을 강하게 시사한다.
전문가들 사이에서는 통신을 가로채 정보를 탈취하는 ‘중간자 공격(MITM)’이나, 특정 기지국 신호를 조작해 사용자 통신을 가로채는 중계기 해킹, 혹은 ARS 인증을 통한 우회 수법 등이 폭넓게 거론되고 있다. 일각에서는 복제폰을 활용한 가능성도 제기되지만, 현실적으로 고도의 기술이 요구되고 피해자의 휴대전화 개통 경로가 제각각인 만큼 기술적으로 실행 가능성이 낮다는 분석도 제시된다. 이동통신사들이 보유한 ‘비정상 인증 차단 시스템’(FDS) 또한 복제폰을 통한 접근을 어렵게 하는 요인이기도 하다.
KT는 이번 사태에 대한 대응으로, 상품권 관련 결제 한도를 기존 100만 원에서 10만 원으로 대폭 축소하고, 고객 신고를 토대로 의심 거래에 대해 결제 사전 차단 조치를 시행하고 있다고 밝혔다. 경찰은 현재 경기남부경찰청 사이버수사대를 중심으로 통신사, 결제대행업체, 상품 판매업체 등 관련 기관과 연계해 해킹 경로 및 범행 방식에 대한 본격적인 수사에 나선 상태다.
이번 사건은 단순 소액결제를 노린 범죄를 넘어, 국민 다수가 사용하는 인증 시스템의 구조적 보안 취약점을 시험받고 있다는 점에서 그 파장이 작지 않다. 향후 추가 조사를 통해 수법이 드러날 경우, 전자상거래 환경 전반에 걸친 인증 구조 개선과 보안 시스템 강화 요구가 본격화될 가능성이 높다.
<저작권자 ⓒ TokenPost, 무단전재 및 재배포 금지>