KT의 통신망을 악용한 대규모 무단 소액결제 사건과 관련해 경찰이 중국 국적 피의자 2명을 검찰에 넘겼지만, 사건의 전말을 밝히는 데는 여전히 많은 수사가 남아있는 것으로 확인됐다. 특히 조직적인 범행 지시의 정황과 해킹 기법의 정체, 사용된 불법 장비의 출처 등은 아직 해소되지 않은 수수께끼로 남아있다.

이번 사건은 국내 최초로 ‘워드라이빙’ 방식이 동원됐다는 점에서 업계의 주목을 받고 있다. 워드라이빙이란 차량에 불법 통신 장비를 싣고 다니며 주변의 무선망에 침투해 피해를 주는 수법으로, 주로 해외에서 알려졌던 방식이다. 경찰은 라면 상자 2개 분량의 범행 장비에서 총 27개의 네트워크 부품을 확인했고, 이 중에는 ‘펨토셀’로 추정되는 소형 기지국 장비도 포함됐다. 펨토셀(Femtocell)은 원래 가정이나 사무실에서 이동통신 신호를 증폭하기 위해 사용하는 소형 중계기로, 이를 악용해 인터넷망에 무단 접속이 가능하다.

그러나 확인된 장비의 출처는 KT에서 사용하던 기기가 아닌 것으로 보인다. 이에 대해 한국인터넷진흥원은 해당 장비가 복제됐을 가능성을 제기했으며, KT측도 당초 자사 장비 개조로 추정했던 판단에서 물러섰다. 특히, 무단 소액결제에 필요한 기지국 접속 인증 정보가 포함된 메모리 등이 보드에 장착돼 있었을 수 있다는 점에서, KT 내부망에 대한 해킹 가능성도 배제할 수 없다는 분석이 나온다. 이런 점을 종합하면, 이번 사건은 단순한 기술적 허점을 이용한 것이 아니라 체계적인 해킹과 인증 정보 탈취가 선행된 것으로 보인다.

범행에 사용된 불법 통신 장비는 유심칩을 다량 탑재해 대규모 통신을 시도할 수 있는 ‘심박스’ 형태일 가능성도 제기되고 있다. 이는 기존의 보이스피싱 범죄에서 자주 쓰였던 방식으로, 다량의 문자발송이나 음성통화를 통한 범죄에 이용돼 왔다. 이번 사건에서도 다수의 복제 유심칩(타인의 정보를 도용해 만든 유심)이 삽입됐을 것으로 의심되고 있으며, KT측은 인증키나 개인정보가 유출되지 않았다고 주장하지만 과학기술정보통신부는 관련 우려에 대해 정밀히 조사하겠다는 입장이다.

한편, KT는 지난 9월 5일부터 이상 결제 시도를 시스템적으로 차단했고, 공교롭게도 이 시점부터 소액결제 피해도 중단된 것으로 나타났다. 이와 관련해 경찰은 KT의 기술적 차단이 원인인지, 아니면 범행 조직의 윗선이 위협을 느끼고 범행 중단을 지시했는지를 두고 조사 중이다. 실제로 검거된 피의자 가운데 한 명은 상선으로부터 “서버에 장애가 생겼다”는 연락을 받고 범행을 멈췄다고 진술한 바 있다.

사건의 핵심 단서를 쥐고 있을 것으로 보이는 장비는 현재 대부분 경찰이 확보한 상태지만, 일부는 중국으로 반출된 정황도 확인됐다. 특히 노트북 한 대가 중국으로 반송된 것에 대해, 경찰은 이 장비에 해킹 프로그램 또는 외부 제어를 위한 핵심 소프트웨어가 포함돼 있었을 가능성을 주목하고 있다. 다만 범인이 실제 노트북을 두 차례만 켜고 끈 사실로 미뤄, 사전에 설정된 프로그램이 원격 작동했을 가능성도 제기된다.

이 같은 상황은 사이버보안의 경계가 점점 더 모호해지고 있다는 점을 보여준다. 특히 낮은 기술 장벽으로 불법 장비가 온라인을 통해 손쉽게 유통되면서, 기업 내부망을 노리는 조직범죄가 점점 고도화되고 있다는 점에서 우려가 깊어지고 있다. 향후 경찰과 정부의 합동조사를 통해 이 사건의 은밀한 범행 구조가 구체적으로 드러날 수 있을지 귀추가 주목된다. 동시에 검증되지 않은 통신 장비와 해킹 연동 가능성에 대한 보다 근본적인 대응책도 마련돼야 한다.