"일반 문자·통화까지 도청됐나"…KT 해킹, 소액결제 인증정보 탈취 가능성

KT 해킹 사태로 일반 문자 및 통화 내용까지 광범위하게 도청이 이뤄졌을 가능성이 제기됐다. 범죄자들이 종단 암호화를 해제했던 것으로 파악되면서다.

9일 통신 업계에 따르면 민관 합동조사단은 불법 펨토셀을 통해 소액결제 인증 정보뿐만 아니라 어떠한 정보들에 접근할 수 있었는지 등 조사를 이어가고 있다.

합동조사단은 해커들이 펨토셀 조작으로 종단 암호화 과정을 무력화해 자동응답방식(ARS), 문자메시지(SMS) 등 소액결제 인증정보를 탈취했을 가능성을 제시했다. 그간 두 인증수단을 통해 무단 결제가 이뤄진 점은 확인했으나 경위가 명확하지 않았다.

종단 암호화는 단말에서 코어망까지 문자 및 음성 시그널링(통화 시 상대방 식별, 세션 연결·해제 등을 관리하는 정보)을 암호화하는 것이다. 이에 중간 서버에서 데이터를 탈취하더라도 원칙적으로는 복호화가 불가능하다.

하지만 해커들은 암호를 풀고 평문의 인증정보를 탈취해 범행에 사용한 것으로 보인다. 게다가 종단 암호화를 해제하는 것이 가능했다면 소액결제 관련 인증 정보뿐만 아니라 일반 문자, 음성통화 내용 등의 탈취가 이루어진 것 아니냐는 우려도 나온다.

전문가들도 이 같은 가능성을 완전히 배제하기는 어렵다고 봤다.

김용대 카이스트 교수는 "데이터, 문자, 통화는 각각 다른 방식으로 전송되는데, 일반 데이터는 따로 암호화가 추가로 돼 (평문으로 읽을 수 없지만) 문자와 음성은 가능할 수 있다"고 연합뉴스에 설명했다.

해커들이 일반 문자나 통화 내용까지 가로챌 수 있다면 이번 사태의 심각성은 더욱 커질 수밖에 없다. 범죄자들이 국가 안보 또는 특정 산업의 주요 정보를 탈취하기 위해서 범행을 계획할 수도 있기 때문이다. 사건 초기부터 범죄자들이 소액결제 해킹을 넘어 더 광범위한 정보 수집을 목표로 범행 시도했을 것이라는 분석도 꾸준히 제기된 바 있다.

합동조사단은 일반 문자 및 음성 통화 도청 등 관련해서 전문가 자문, 추가 실험 등을 통해 조사를 이어갈 방침이다.

한편 소액결제에 필요한 이름과 생년월일 등 개인정보가 어떻게 유출됐는지는 여전히 오리무중이다. KT가 정부에 신고하지 않은 악성코드 감염 서버와의 연관성에 합동조사단은 주목하고 있다.

KT는 지난해 3월~7월 사이 43대의 서버가 BPF도어, 웹셸 등에 감염됐던 사실을 파악하고도 정부에 신고하지 않은 것으로 확인됐다. 일부 감염서버에는 성명, 전화번호, 이메일주소, 단말기 식별번호(IMEI) 등이 저장되어 있던 것으로 파악됐다. 이 당시 개인정보가 유출돼 소액결제 범행에 결합했을 가능성도 있다.

조사단 관계자는 "관련 서버 포렌식 등 아직은 조사가 더 필요하다"며 모든 가능성을 열어두고 조사를 진행하겠다고 밝혔다.