[비즈니스포스트] "KT 통신망에서 '가입자식별번호(IMSI)-캐칭(Catching)' 해킹 정황이 포착됐다. KT 가입자들이 단순한 무단 소액결제 피해를 넘어, 도·감청 위험에 노출됐을 가능성을 시사한다. 이런 관점에서 즉각 대응이 필요하다."

이른바 'KT 휴대전화 무단 소액결제' 사태 원인과 경로 조사 과정에서 KT 통신망에 '유령 기지국'이 침투해 단말기 고유번호와 통신 데이터 등을 탈취한 정황이 드러났다.

이번 사태가 단순 해킹을 넘어, 휴대전화 도청 가능성을 포함한 중대한 보안 침해로 봐야 한다는 지적이 나온다.

이번 사태가 KT에 국한되지 않을 수 있다는 점도 지적된다. SK텔레콤과 LG유플러스 등 다른 통신사 네트워크에서도 유사 공격이 있었는지 확인이 필요하다는 지적이 나온다. 과거 다른 지역에서도 비슷한 시도가 있었을 가능성도 배제할 수 없다.

보안 전문가들 사이에선 "판도라의 상자가 열린 격"이란 평가도 나온다.

가입자식별번호-캐칭 공격은 통신망에 유령 기지국을 침투시켜 단말기의 가입자식별번호를 가로챈 뒤 음성통화·문자메시지·데이터를 갈취하는 기법이다. 과거 정보기관이 휴대전화 도·감청에 활용하던 기술이다.

유엔난민기구 CISO 출신 최운호 서강대 교수는 "가입자식별번호-캐칭은 디지털 이동통신 등장 초기 도·감청에 쓰이던 기술"이라고 설명하며 "이번 정황은 피해자 단말기가 도·감청 상태에 놓였을 가능성을 의미하며, 다른 지역에서도 유사 공격이 있었을 수 있다"고 짚었다.

하지만 KT는 여전히 "경찰 조사에 혼선을 줄 수 있다"며 이용자들에게 문자로 주의를 당부하거나 대처 요령을 안내하는데 소극적인 태도를 보이고 있다.

과학기술정보통신부는 SK텔레콤과 LG유플러스에도 유사 공격 여부를 점검하도록 긴급 지시했다.

보안 전문가들은 KT 내부자 공조나 정보기관 출신 연루 가능성도 조사해야 한다고 강조한다.

류제명 과학기술정보통신부 2차관은 10일 정부서울청사 브리핑에서 "KT 무단 소액결제 피해는 278건, 피해 금액은 1억7천여만 원으로 집계됐다"며 “이용자 금전 피해가 있었던 점 등 중대한 침해 사고로 판단해 민관합동조사단을 통해 조사 중”이라고 밝혔다.

류 차관은 이어 "KT 통신망에 미등록 초소형 기지국이 접속된 사실을 확인했다"며 "이동통신 3사 모두 신규 초소형 기지국의 통신망 접속을 제한하도록 했다"고 말했다.

류 차관은 휴대전화 무단 소액결제 원인과 경로, 미등록 유령 기지국이 어떻게 KT 통신망에 침투할 수 있었는지 등에 대해서는 "민관합동조사단을 통해 조사 중"이라고 밝혔다.

이날 브리핑에 배석한 구재형 KT 네트워크기술본부장은 "(유령 기지국이 어떻게 침투했는지는) 합동조사를 통해 확인 중이고, 기존 KT 장비는 이상이 없는 것으로 확인됐다"고 밝혔다.

이에 가입자식별번호-캐칭 해킹 기술에 대한 관심이 커지고 있다.

11일 보안 전문가와 통신사 관계자들의 말을 종합하면, 가입자식별번호-캐칭 기술은 쓰임새 측면에서 두 얼굴을 갖고 있다. 이에 '양날의 검'으로 불리기도 한다.

가입자식별번호-캐칭 공격은 가입자를 구분하고 통신 연결 때 인증 수단으로 사용되는 가입자식별번호를 가로채 악용한다. 가입자식별번호는 단말기 유심(USIM)에 저장돼 있다.

가입자식별번호-캐칭 방식에선 유령 기지국(스팅레이(StingRay))을 정상 기지국으로 위장해 강한 전파로 단말기 접속을 유도한다. 이동통신 단말기는 현재 위치에서 가장 강하게 수신되는 전파를 쏘는 기지국과 자동 연결되도록 설계된 점을 악용한다.

이후 유령 기지국은 통신망에서 정상 기지국처럼 행세하며 단말기에 가입자식별번호 제출을 요구하고, 이렇게 확보한 정보로 단말기 위치를 추적하고, 통화·문자메시지 내용과 통신 데이터를 가로챈다.

민관합동조사단이 유령 기지국을 통한 가입자식별번호-캐칭 해킹 정황을 휴대전화 무단 소액결제 발생 원인 가능성 가운데 하나로 보고 조사를 진행하는 것도 이런 배경에서다.

가입자식별번호-캐칭 기법을 쓰는 도·감청이나 해킹은 탐지와 차단이 쉽지 않다. 무엇보다 가입자가 알아차리기 어렵다.

이 기법은 디지털 휴대전화 등장 초기 범죄자 검거와 테러 감시 목적으로 만들어졌다. 도·감청을 통해 통화 내용을 엿듣거나 위치를 추적하고, 통신 데이터를 가로채는 방식으로 통화 내용을 엿듣거나 문자메시지와 SNS 등의 내용을 엿본다.

당연히 심각한 프라이버시 침해와 보안 위협을 동반한다.

도청은 통화 내용을 몰래 엿듣거나 통신 데이터를 몰래 가로채는 것이고, 감청은 통신비밀보호법에 정해진 절차에 따라 법원 영장을 받아 이런 행위를 하는 것을 가리킨다. 우리나라에선 통신비밀보호법에 따라 국가기관이라도 영장 없이 몰래 엿듣거나 엿보면 도청으로 간주돼 처벌된다.
  유령 기지국으로는 소형 기지국 '펨토셀(Femtocell)'이 주로 활용된다. 애초 건물 내부와 지하 등 전파 신호가 약한 공간에 설치해 통신 음영 지역을 해소하기 위한 목적으로 개발됐다.

펨토셀은 통신사의 유선 인터넷 망(백홀)을 통해 기지국 코어 망과 연결된다. 일반 기지국과 동일한 주파수를 사용한다.

그동안 제출된 여러 연구논문과 보고서에 따르면, 펨토셀은 기술적으로 보안에 취약하다.

펨토셀은 공용 인터넷 망을 통해 통신사 코어망과 연결된다. 충분한 암호화나 인증 절차가 적용되지 않으면, 펨토셀과 단말기 사이 구간 내지 백홀 구간에서 오가는 데이터를 가로채 도청하거나 변조하는 게 가능해질 수 있다.

또한 펨토셀 장비의 펌웨어(내부 장착 운영체제)에 보안 패치가 적용되지 않았거나 기본 설정(초기 관리자 사용자이름(ID)과 비밀번호(PW) 등)이 그대로 방치되어 있는 경우, 장비 관리자 권한을 쉽게 탈취당할 수 있다.

악성 펨토셀을 정상적인 기지국처럼 만들어 가입자 단말기 접속을 유도하는 방식으로 통신 데이터를 가로챈다.

우리나라에선 2010년 SK텔레콤이 펨토셀을 처음 상용화했다. 2011년까지 2만 대 이상 설치 계획을 밝히기도 했다. 이어 KT와 LG유플러스도 통신 음영 지역 해소 목적으로 펨토셀을 보급해왔다.

세계 펨토셀 시장은 2023년에 75억 달러에서 2024년 85.6억 달러로 커졌고, 2032년에는 247억8천만 달러로 성장할 것으로 전망된다.

최운호 교수는 "펨토셀은 네트워크 효율을 높이지만, 보안 취약성을 방치하면 공격 대상이 된다"며 "펌웨어 무결성 검증, 상호 인증 프로토콜, 위조 장치 탐지 시스템 등 통합 보안 체계가 필요하다"고 강조했다.

당연히 가입자식별번호-캐칭 기법 공격에 대한 방어 기술도 발전돼 왔다.

LTE와 5G에서는 암호화된 임시 사용자이름(ID)을 사용하는 방식으로 가입자식별번호 노출을 줄였고, 유령 기지국 탐지 장비와 보안 앱도 개발됐다.

하지만 비용과 편의성 문제로 적용이 더디거나 기피되는 실정이다.

보안 전문가들은 통화 중 네트워크 전환이나 잦은 끊김 현상을 의심하라고 조언한다. 한 통신사 보안 담당자는 "단말기를 비행기 모드로 전환 후 해제해 정상 기지국에 재접속되게 하는 방법도 유용하다"고 밝혔다.

최운호 교수는 "이동통신 가입자들은 유령 기지국 연결 가능성을 염두에 두고 보안 습관을 생활화해야 한다"고 당부했다. 김재섭 선임기자