[스낵커블 마켓] KT 소액결제 해킹 통로 ‘펨토셀’…보안 맹점 파헤치기
스낵커블 마켓은 마치 마켓에서 다양한 스낵을 고르듯 즐겁게 읽을 수 있는 기사로 가득한 공간입니다. 일상에서 문득 떠오르는 산업과 관련된 궁금증부터 브랜드의 비하인드 스토리까지, 소비자의 시선에서 재미있고 유익한 정보를 제공합니다.
소비 트렌드에 관심이 많은 사람부터 단순한 호기심을 가진 독자까지 누구나 부담 없이 들러 한 조각씩 지식을 맛볼 수 있습니다. 가벼운 정보 한 입이 모여 언젠가는 더 현명한 소비를 돕는 든든한 안목으로 쌓이기를 바랍니다. 스낵처럼 쉽고 맛있게, 정보를 한입 베어 물어 보세요.
【투데이신문 최주원 기자】 통신 품질을 높이는 작은 장치가 해커의 침입로가 될 줄 누가 알았을까요? 최근 KT의 무단 소액결제 해킹 사건에서 문제의 핵심으로 초소형 기지국 ‘펨토셀(femtocell)’이 지목됐는데요. 수많은 이용자들을 ‘유령 기지국’의 함정에 빠뜨리고 있다는 충격적인 사실이 드러났습니다.
펨토셀은 주로 가정이나 사무실 등 실내에서 쓰이는 초소형 이동통신 기지국인데요. 와이파이 공유기처럼 생긴 이 작은 장치는 집안 인터넷망에 연결돼 스마트폰 통화 품질을 높여주는 통신 보조기기 역할을 합니다. 그런데 이번 해킹 사태로 ‘보안 사각지대’라는 위험한 민낯을 드러내게 됐죠.
펨토셀이 뭐길래?
펨토셀이란 1000조 분의 1을 의미하는 ‘펨토(Femto)’와 기지국 서비스 구역 단위인 ‘셀(Cell)’의 합성어로 반경 수십 미터 이내의 작은 영역을 커버합니다. 각 가정이나 사무실에서 초고속 인터넷 회선에 연결해 모바일 기기의 원활한 통신을 돕는 역할을 하는데요.
기존 대형 기지국이 도달하기 어려운 실내 음영지역에서 통화 품질을 개선하고 데이터 트래픽을 분산하는 중요한 역할을 합니다. 일반 소비자가 직접 설치할 수 있을 정도로 소형이며 통신사업자는 이를 통해 네트워크 구축 비용을 줄이고 주파수 자원을 효율적으로 활용할 수 있죠.
펨토셀의 장점들은 다음과 같습니다.
▲음영지역 해소: 실내·지하 등 휴대전화 신호가 약한 곳에서 서비스 품질 향상
▲네트워크 비용 절감: 기존 대형 기지국 설치 대신 저렴한 비용으로 네트워크 확장
▲주파수 효율성: 전용 주파수 대역에 구애받지 않고 남는 주파수 활용 가능
펨토셀의 치명적 약점
KT는 전국에 약 15만7000여 대의 펨토셀을 운영하고 있어 LG유플러스(2만8000여 대)나 SK텔레콤(1만여 대) 등 타 통신사 대비 압도적으로 많은 수량을 보유하고 있는데요. KT는 통화 품질 민원 해소를 위해 적극적으로 펨토셀 설치를 활용했고 대표 장비인 ‘기가아토(GiGA Atto)’는 손쉬운 자가설치가 가능해 사용자 만족도가 높았죠.
문제는 간편한 설치와 관리 부실로 인해 중고 펨토셀이 불법 거래되거나 해킹에 악용되는 보안 리스크가 드러났다는 점입니다. 최근 소액결제 해킹 사건의 주요 경로로 펨토셀이 지목되며 관리 체계 개선에 대한 요구가 커지고 있습니다.
KT 관계자는 “비정상 소액결제를 분석한 결과 특정 기지국을 잡는 것을 확인했는데 해당 기지국은 KT 관리 시스템에 존재하지 않았습니다”라며 “초소형 기지국이 KT 망에 접속할 수 없도록 우선 조치를 시행했습니다”라고 설명했습니다.
해커들은 이렇게 악용한다
KT의 자체 조사 결과 불법 초소형 기지국 2개의 신호를 수신한 적이 있는 이용자가 1만9000여 명에 달했는데요. 이 중 개인식별정보(IMSI)를 보낸 이력이 있는 분들은 5561명이었습니다.
| 펨토셀 악용 우려점 | |
|---|---|
|
중고·방치 펨토셀의 악용 |
사용 후 임의 방치되거나 온라인으로 불법 거래된 장비가 해커에게 탈취 |
|
불법 기지국 생성 |
해커가 관리 사각지대의 펨토셀을 해킹해 ‘유령 기지국’ 생성 |
|
데이터 가로채기 |
이용자의 인증문자, 통화, 개인정보 등을 가로채 불법 소액결제 시도 |
|
기본 보안 정책 미흡 |
2010년 이후 펨토셀 개설 신고 면제 등 보급 확대만 강조하고 보안은 소홀 |
특히 이번 사건은 피해자가 알지 못한 채 정보를 가로채고 소액결제를 진행했다는 점에서 기존 스미싱 범죄보다 한층 더 고도화된 공격이라는 우려를 낳고 있습니다.
소액결제 인증도 뚫려
소액결제를 하려면 문자 메시지나 패스(PASS) 앱, ARS 등을 이용한 본인 인증이 필요한데요. 이번 KT 무단 소액결제는 대부분 ARS 인증을 거쳐 이뤄졌습니다. 문제는 KT 측도 ARS 인증이 어떻게 뚫렸는지 파악하지 못하고 있다는 점입니다.
KT 관계자는 “ARS 인증은 사용자가 웹사이트에서 이름과 주민번호를 입력해야만 인증 문자가 발송되는 구조”라며 “기존 불법 기지국 사건과는 별개의 문제일 가능성이 있습니다”라고 말했습니다. 또한 “이에 경찰 수사가 필요한 상황이며 회사 차원에서도 적극 협조하고 있습니다”라고 덧붙였습니다.
해외 사례를 보면 가짜 기지국을 이용한 범죄는 대량 스미싱 문자가 대다수였지만 이번 사건은 피해자 모르게 진행됐다는 점에서 더욱 위험합니다. 기지국과 ARS 인증 시스템 간의 취약점이 있을 가능성도 제기되고 있죠.
펨토셀 보안 사고를 계기로 초소형 기지국의 자율적 공급·관리 체계의 한계가 제기된 만큼 IT 인프라 전반에 걸친 강력하고 체계적인 보안 관리 체계가 필수적일 것입니다.