111일 조사에도 의문 투성이 'KT 소액결제 사건'…여전한 '미궁'

(서울=뉴스1) 김기현 기자 = 'KT(030200) 무단 소액결제 사태'에 대한 관계 당국 조사가 장장 111일 만에 마무리됐지만, 여전히 풀리지 않은 의문이 수두룩하다.

무엇보다 소액결제에 필요한 개인정보 확보 수법은 물론, 악성코드 감염 서버와 연관성 등 핵심적 궁금증은 끝내 풀리지 않았다.

나아가 초소형 기지국(펨토셀) 관리 부실로 KT 모든 가입자 문자, 음성 통화 탈취가 가능했던 것으로 나타나 국민적 불안감은 여전한 모양새다.

과학기술정보통신부는 29일 KT 침해 사고 민관합동조사단 조사 결과 및 위약금 면제 규정 검토 결과를 발표했다. 과기부에 따르면 소액결제 피해 규모는 총 368명(777건), 2억 4319만 원으로 확정됐다. 펨토셀 접속해 개인정보 유출 정황이 확인된 가입자는 2만 2227명이다. 지난 10월 17일 KT가 발표한 피해 규모 그대로다.

지난달 6일 중간 조사 결과 발표를 통해 확인된 악성코드 감염 서버는 총 94대로, BPF도어, 루트킷 등 악성코드 103종이 감염된 것으로 나타났다. KT가 지난해 3~7월 감염 서버를 발견했음에도 정부에 신고 없이 조치한 서버는 총 41대로 파악됐다.

다만 악성코드 감염 서버를 통한 개인정보 유출 여부는 확인되지 않았다. 또 시스템 로그 보관 기간이 1~2개월에 불과해 기록이 남아 있지 않은 기간의 정보 유출 여부를 확인하는 게 불가능했다고 과기부는 덧붙였다.

무단 소액결제에 필요한 개인정보(성명, 생년월일, 휴대전화 번호)를 어떻게 확보했는지는 밝혀지지 않았다. 공격자는 불법 펨토셀을 이용해 피해자의 전화번호, 국제이동가입자식별정보(IMSI), 단말기 식별번호(IMEI) 등의 정보를 탈취해 미상의 경로로 취득한 개인정보와 결합해 피해자를 선정, 피해자 개인정보로 상품권 구매 사이트에 접속해 상품권 구매 시도를 한 것으로 파악됐다.

불법 펨토셀은 언제 어디서든 KT 내부망에 접속할 수 있었던 것으로 나타났다. 또 통신 트래픽 캡처가 가능한 불법 펨토셀과 연결된 이용자 단말기에서 송·수신 되는 문자, 음성통화의 정보 탈취가 가능한 것으로 드러났다. 통신 과정에서 휴대전화와 KT 내부망 간 송·수신되는 정보가 암호화돼야 하는데, 불법 펨토셀을 통해 종단 암호화 해제가 가능했다는 의미다.

경찰은 현재까지 총 13명을 검거해 5명을 구속 송치, 6명을 불구속 송치했다. 나머지 2명은 불구속 상태로 수사를 이어가고 있다. 이들은 한국계 중국인 상선 A 씨(40대·남) 지시에 따라 △장비운용 △자금세탁 △대포유심제공 등으로 역할을 나눠 범행에 가담한 것으로 조사됐다.

지난 9월 인천공항 입국장에서 차량에 불법 기지국 장치를 설치해 운행하다 붙잡힌 한국계 중국인 B 씨(40대·구속)는 "중국에 있는 A 씨 지시를 받고 500만 원을 받는 대가로 범행했다"고 주장한 바 있다.

경찰은 B 씨 검거 당일 오후 5시께 평택항 인근에서 중국으로 반출되던 여러 장비를 긴급 확보했다. 당시 경찰이 확보한 장비는 펨토셀(소형기지국) 2점, 라우터 5점, 지향성 안테나, 부속품을 포함해 총 31점이었다. 이들 장비 가운데 B 씨 범행에 이용된 장비는 옥외형 펨토셀 1점, 라우터 2점 등으로 확인됐다.

경찰이 불법 펨토셀을 분석한 결과, △KT 인증서 △KT 인증 서버 IP △범행 사용 셀ID △관리자 접속 IP △패킷 전송 소프트웨어 등 범행과 관련된 전자정보가 다수 발견됐다. KT인증서는 2019년 7월 경기북부 지역에 있는 한 군부대에 설치돼 있던 KT 펨토셀 인증서로, 2020년 1월께 막사 이전 시 유실된 것으로 나타났다.

경찰은 피의자 진술 및 여러 증거를 종합해 A 씨 인적사항을 특정한 후 10월 초 국제형사경찰기구(인터폴)에 적색수배(체포영장 발부 피의자에게 내리는 국제수배)를 요청한 상태다. 또 A 씨로부터 장비 운영 범행 대가를 받아 B 씨에게 전달한 20대 여성 대가전달책 1명도 올해 6월께 중국으로 출국한 것으로 확인돼 수배 및 입국 시 통보 조치를 취했다.

다만 경찰이 신원을 특정하는 데 성공한 '윗선'이 A 씨 외에는 없고, '곁가지' 격인 공범 일부만 검거한 점에서 수사에 한계가 있었던 것 아니냐는 비판이 나온다. 아직 A 씨가 '뿌리'인지 불분명한 데다, 공범별 상선이 다를 가능성도 있는 탓이다.

더욱이 중국에 거점을 두고 있는 A 씨 신병을 확보하는 데에도 크고 작은 어려움이 따를 것으로 예상돼 국민적 불안감을 완전히 해소하기까지 적잖은 시간이 소요될 전망이다. 국제법상 각국 수사 권한은 자국으로 한정돼 있어 인터폴을 통하지 않고는 직접 수사가 불가능하다.

경찰 관계자는 "불법 펨토셀 장비를 원격 조종하는 장치로 보이는 노트북은 소액결제 범행 직후 다른 경로를 통해 중국으로 넘어가 확보할 수 없었다"며 "아직 상선을 검거하지 않은 상태여서 정확한 범행 동기 등은 설명하기 어렵다"고 했다.

kkh@news1.kr