KT가 최근 발생한 무단 소액결제 피해 사건의 배후를 추적한 결과, 불법 설치된 초소형 기지국(펨토셀) 4개의 ID가 모두 범죄 조직에 의해 위조된 것으로 드러났다. 경찰은 이들이 여러 대의 장비가 아닌 하나의 장비로 ID를 복수 생성해 범행을 저지른 것으로 보고 있다.

24일 경기남부경찰청 사이버수사과는 기자단 설명을 통해, KT가 수사 초기 확인한 2개의 불법 기지국 ID 외에도 추가로 2개를 발견했으며, 이 네 개 모두 동일한 일당이 사용한 것으로 파악됐다고 밝혔다. 이는 피해자들의 전화번호와 기지국 ID의 셀값(무선 통신 구역 값)이 일치한다는 점을 통해 추정된 것이다.

이들이 사용한 펨토셀은 국내에서 제작되거나 사용된 잔여 장비가 아닌, 해외에서 밀반입된 장비인 것으로 경찰은 보고 있다. A씨 일당은 이를 차량에 실어 이동하며 사용한 것으로 보이며, 지난 16일 피의자 A씨는 인천국제공항에서 체포됐고, 같은 날 평택항 인근에서 해당 기기를 경찰이 확보했다. 장비는 라면 상자 크기의 두 개 박스로 이뤄져 있으며, 27개의 네트워크 부품이 조립된 상태였다.

KT 측에 따르면, 이 불법 펨토셀이 발산한 신호를 수신한 이동통신 가입자는 약 2만 명에 이르는 것으로 추산된다. 특히 기지를 통해 전송된 데이터에는 국제이동가입자식별정보(IMSI), 국제단말기식별번호(IMEI), 휴대전화 번호 등이 포함돼 있어 개인정보 유출 가능성도 제기되고 있다. 다만, 경찰은 현재까지 유출된 정보가 어떤 방식으로 사용됐는지에 대해서는 본격적인 수사에 착수하지 않은 상태라고 설명했다.

펨토셀은 일반적으로 실내에서 통신 품질을 높이기 위해 설치되는 초소형 기지국으로, 이동통신망과 직접 연결돼 통화 품질을 향상시키는 장치다. 하지만 이를 범죄 의도로 사용할 경우, 의심 없이 접근한 휴대전화 사용자의 신호를 가로채 개인정보를 탈취하거나 부정한 통신 연결을 유도할 수 있어 심각한 보안 위협으로 간주된다.

당분간 경찰과 통신업계는 민관 합동으로 이 장비의 제작 경위와 작동 방식, 유출된 개인정보의 범위를 규명하기 위한 정밀 조사에 들어갈 계획이다. 이 같은 사건은 초소형 통신장비의 관리 사각지대를 드러낸 사례로, 향후 규제 강화와 기술적 방어 체계 마련이 요구될 것으로 보인다. 또한 유사한 방식의 피해 확산 가능성도 배제할 수 없어, 전방위적 보안 점검이 불가피하다는 지적이 나온다.