더경남뉴스가 우리 사회에서 수없이 발생하는 사고와 사건을 이야기식으로 재구성해 소개합니다. 단순한 사고와 사건이어도, 지역이 다를지라도 여러 사람에게 '경종'을 울릴 수 있는 사안은 '사회 현상'을 가미해 재구성해 내겠습니다. 이 코너에 독자분들의 많은 관심을 부탁드립니다. 편집자 주

경기 광명시와 서울 금천구에 이어 이들 지역 인근 수도권에 KT 휴대전화 소액결제 피해 신고가 이어져 혹시 부울경 지역에서도 같은 피해가 발생하지 않을까 하는 우려가 슬슬 다가서고 있습니다.

광명, 금천에 이어 경기 부천과 인천 부평, 서울 영등포구에서도 9일까지 비슷한 피해 신고가 이어졌습니다.

피해 상황을 짚어보면 특징이 발견됩니다.

특정 통신사(KT), 지역(첫 발생 광명, 금천 인근 지역), 시간(새벽)에 집중됐고 금액은 수십만 원씩 소액결제로 크지 않습니다. 다만 휴대전화 개통 대리점, 기종, 가입자 연령 등은 다릅니다.

경찰과 KT는 일단 이동식 불법 통신장비(유령 기지국)로 인한 것으로 파악해 해킹 가능성을 염두에 두고 수사에 나섰다고 합니다.

KT는 경찰 수사에 앞서 피해자들의 휴대전화가 불법 통신 장비와 연결돼 해킹된 정황을 잡고 이를 경찰에 통보했습니다.

앞서 해외에서 유령 기지국 해킹 사례가 더러 있다고 하네요.

경남 진주시에 있는 KT대리점. 이 기사 내용과 관련 없음. 천진영 기자

▶ 피해 현황

경찰에 따르면 KT 소액결제 피해 신고는 10일 현재 총 278건에 1억 7000만 원으로 집계됐습니다.

초기 피해 신고는 지난 8월 27일부터 9월 5일까지 광명시와 금천구에서 집중됐습니다. 두 지역에서는 8일 기준 총 74건이 접수돼 피해액이 4580만 원으로 집계됐습니다.

광명경찰서 신고액 3800만 원, 금천경찰서 780만 원 등 총 4580만 원입니다.

첫 피해 신고는 광명시에서 나왔습니다.

휴대전화 소액결제로 수십만 원씩이 빠져나갔다고 합니다.

8월 27∼31일 주로 새벽 시간대 휴대전화 소액결제로 모바일 상품권 구매, 교통카드 충전 등으로 수십만 원이 빠져나갔습니다.

잠을 자는 사이 문화상품권 5만 원권 4장이 결제됐고, 휴대전화에는 자신이 하지도 않은 문자 인증 기록이 남아 있었다는 사례도 나왔습니다.

모두 새벽 시간대에 발생했다는 공통점이 있지만 구체적인 원인은 확인되지 않았습니다.

피해자는 광명시 소하동·하안동, 금천구에 거주하는 KT 가입자들이고 일부는 KT의 전산망을 이용하는 알뜰폰 사용자인 것으로 파악됐습니다.

"자고 일어나니 20만원 털렸다"는 식입니다.

이어 3~4일 광명시 주민 온라인 카페 등에는 소액결제 피해를 봤다는 글이 속속 올라왔습니다.

지난 4일 카카오톡 로그아웃을 경험한 한 피해자는 "20년간 같은 통신사(KT)를 썼고 평소 휴대전화 소액결제를 하지 않는다. 소액결제 한도가 0원이었는데 밤사이 100만 원으로 한도가 풀려 80만 4000원짜리 상품권이 결제됐다"고 신고했습니다.

이에 카카오 측은 “고객의 휴대전화 번호로 새로운 카카오톡이 가입된 것으로 확인된다”며 “가입을 위한 ARS 인증까지 정상적으로 완료됐던 이력이 확인된다”고 했습니다.

또 30대 KT 가입자는 영등포경찰서에 ″소액결제로 49만 5천 원이 빠져나갔다″고 신고했습니다.

이 피해자는 ″휴대전화 인증 문자를 받은 적이 없는데 소액결제가 이뤄졌다. 수사관과 함께 폰을 살펴봤는데 악성코드나 악성 앱은 발견되지 않았다″고 주장했다.

다만 피해자가 결제를 곧바로 취소해 금전 피해까지 이어지지는 않았습니다. 이에 경찰은 피의자를 특정하지 못해 9월 초 사건을 종결했습니다.

▶ 원인 추적

전문가들은 해킹 조직이 KT 기지국을 위장한 ‘이동식 사설 기지국’ 등을 구동해 피해자들의 휴대전화에 접근해 개인정보를 빼낸 뒤 소액결제를 했을 가능성을 제기하고 있습니다.

이 주장이 사실로 드러나면 한국에서 이런 유형의 해킹 범죄는 처음이랍니다. 특히 국내에서 특정 지역과 시간대에 소액결제 피해가 동시다발적으로 발생한 것은 이번 사건이 처음입니다.

피해 발생 초기에는 지역 기반의 악성코드가 숨겨진 애플리케이션(앱)을 통한 스미싱 가능성이 제기됐으나, 현재까지 관련 정황은 확인되지 않고 있습니다.

일부 피해자가 카카오톡 메신저에서 강제 로그아웃됐거나 본인인증 서비스 ‘패스’(PASS) 앱이 통제됐다고 말한 점도 의문을 키웁니다.

한 피해자의 PASS 인증 내역을 보면 8월 27일 새벽 4시9분 상품권 판매 사이트에서 문자 인증을 받았다는 이력이 남아있지만, 그의 휴대전화에는 관련 인증 확인 문자가 오지 않았다고 합니다.

이는 이번 해킹이 단순 결제 절차가 아닌 인증 체계 자체가 우회됐다는 것입니다.

KT는 이와 관련 지난 8일 피해자들의 휴대전화를 분석한 결과 외부의 해킹 공격 정황을 발견해 KISA(한국인터넷진흥원)에 신고했습니다.

이에 따르면, KT는 해킹 때 불법 통신 장비가 피해 고객들의 휴대전화에 연결된 기록을 발견했습니다.

범죄 조직이 KT 기지국을 가장한 이동식 기지국을 피해 지역 인근에 설치, 이 기지국을 통해 통신 서비스를 이용한 KT 고객들의 정보를 빼냈다는 것입니다.

그런데 이와 비슷한, 유령(허위) 기지국을 동원하는 해킹 수법은 해외에서 발생하고 있습니다.

사고 신고가 처음 됐을 땐 복제폰, 중계기 해킹 가능성도 제기됐습니다.

다만 피해자들의 개통 경로가 서로 다르고 KT를 포함한 이통사들이 모두 ‘비정상 인증 시도 차단 시스템’(FDS)을 가동하고 있어 복제폰 가능성은 낮은 것으로 분석됩니다.

FDS는 동일한 번호로 다른 기기가 접속하려 할 경우 망에서 이를 자동 차단하는 기능입니다.

▶경찰 수사···아직 원인 파악 미궁

경찰은 전담 수사팀을 확대해 KT가 보낸 자료 등을 분석하는 등 본격 수사에 착수했습니다.

경기남부경찰청 사이버수사대는 여러 경로의 해킹 가능성을 열어두고 통신사, 결제대행업체, 상품 판매업체 등을 폭넓게 들여다볼 방침이다.

경찰은 광명의 경우 피해자가 모두 광명시 소하동에 살고 일부는 같은 아파트에 살고 있다는 점, 피해자가 모두 KT 이용자라는 점을 파악했습니다.

사이버 침해를 조사하는 한국인터넷진흥원(KISA)도 소액결제 피해 사실관계 확인에 나섰습니다.

KISA 측은 “스미싱에 의한 악성 앱 감염 등 여러 가능성을 놓고 피해 사실 및 원인을 파악 중”이라고 밝혔습니다.

하지만 범행 경로는 아직 오리무중입니다.

KT는 지난 6일 추가 피해를 방지하기 위해 상품권 판매업종 결제 한도를 100만 원에서 10만 원으로 일시적으로 축소했다.

KT는 “고객이 의심 사례로 KT에 신고한 사항은 확인을 통해 피해액이 납부되지 않도록 사전조치를 하고 있다”며 “수사 기관 및 관계 부서가 긴밀히 협력해 신속히 해결하도록 최선을 다하겠다”고 밝혔습니다.

KT 홈페이지 ‘휴대폰결제내역’에서 소액결제 설정을 변경하는 방법. KT 홈페이지

▶예방법

온라인에서는 소액결제 한도 조정 및 차단 방법이 공유 중입니다.

KT의 경우 홈페이지에서 로그인을 한 뒤 ‘마이’ 메뉴에 들어가 요금/서비스 중 ‘휴대폰결제내역’에서 소액결제 한도 액수나 차단을 선택해 변경하면 된다고 합니다.

하지만 이 방식도 완벽하지 않은 듯합니다.

최근 국내외를 불문하고 악성코드를 심는 등 해킹이 기승을 부립니다.

그래도 유비무환입니다. 과하다 할 정도로 보안에 투자하거 신경 써야 합니다. 약한 곳이 터집니다.

소형인 이동식 기지국을 활용해 밤에만 활동하며 개인 휴대전화에 접속해 거액이 아닌 수십만 원씩 빼가는 얄미운 수법. 이동이 가능한 작은 기기를 차량에 싣고 다니며 숨바꼭질과 같은 악행을 하는 이들 일당이 언제가는 잡히겠지요.

길면 꼬리가 잡히고, 기기 조작범은 꼭 잡히게 돼 있습니다.

'야밤의 숨박꼭질' 해킹 전모가 언제 드러날 지 궁급합니다.