전화결제(소액결제) 서비스 이용 피해가 기승을 부리고 있다./사진=방송통신위원회 블로그 갈무리

서울 금천구, 경기도 광명에서 확인된 KT 이용자들의 소액결제 피해가 과천·부천 및 인천 등지로 확산하는 가운데 KT 소액결제 피해가 더 확산할 것이라는 우려가 나왔다. KT가 SMS(문자메시지) 전송 방식을 아예 바꾸거나 당분간 소액 결제 자체를 막아야 한다는 지적도 나온다.

김용대 카이스트(KAIST) 전기및전자공학부 교수는 10일 머니투데이와의 전화 인터뷰에서 "이번에 확인된 소액결제 사태가 앞으로 계속 나올 수 있다"며 "사용자(고객)가 이번과 같은 피해를 피하기 위해 할 수 있는 일은 없을 것이다. KT에서도 소액결제를 막는 것 말고는 방법이 없을 것 같다"고 밝혔다.

과학기술정보통신부는 지난 8일 저녁 7시16분 KT의 침해사고 신고를 받고 같은 날 밤 10시50분에 현장을 방문해 조사에 착수했다. 이 때 KT는 고객 무단 소액결제 사고의 원인 중 하나로 불법 초소형 기지국의 통신망 접속을 언급했다. 이에 과기정통부는 불법 기지국이 통신망에 접속하지 못하도록 즉각 대책을 요구했고 KT는 지난 9일 아침 9시부터 신규 초소형 기지국의 통신망 접속을 전면 제한했다.

문제는 이미 기존에 초소형 기지국(이하 펨토셀, Femtocell)이 상당히 많이 배포돼 있을 것이라는 데 있다. 김 교수에 따르면 펨토셀은 불법적인 해킹을 위해서가 아니라 일상적 목적으로도 상당히 많이 사용된다. 펨토셀이란 가정이나 소규모 사무실 등에서 실내 음영지역이 발생할 때 설치하는 저전력 기지국을 일컫는다. 시골 등 통신망이 충분치 않은 지역에 가정 내에 펨토셀을 설치하는 경우가 많다.

소액결제를 위한 인증번호 등 SMS 메시지가 오갈 때는 데이터가 △이용자의 단말기와 기지국(펨토셀 포함) 간 무선통신 구간과 △기지국과 이통사를 연결하는 유선 인터넷 구간 △이통사와 다른 이통사를 연결하는 유선 인터넷 구간 등을 거쳐야 한다. 이 중 단말기-기지국 사이의 구간을 '에어망'(무선통신 구간)이라고 하고 기지국-이통사 등 구간을 연결하는 구간을 '코어망'이라고 부른다.

SMS 전송방식은 이통사마다 다르다는 게 김 교수의 설명이다. KT의 SMS 전송방식은 에어망과 코어망 중 에어망에 대한 암호화만 하는 방식인 반면 SK텔레콤 등의 방식은 에어망-코어망 모두 암호화하는 방식이다.

김 교수는 "통신 표준상 에어망에서의 데이터 송수신은 암호화되지만 이 데이터는 기지국(펨토셀)에서 복호화된다"며 "해커가 펨토셀을 해킹해서 관리자 권한을 갖는 등 방식으로 복호화된 문자 메시지를 따면 소액결제 인증을 할 수 있다"고 했다.

KT가 지난 5일 이후 신규 소액결제 피해는 없었다고 한 데다 지난 9일부터 신규 초소형 기지국 통신망 접속을 제한했다고 하지만 소액결제 피해는 더 발생할 수 있다는 게 김 교수의 설명이다. KT가 자사가 운영하지 않는 가짜 기지국은 차단할 수 있겠지만 전국에 배포된 펨토셀 중 얼마나 해커의 손에 들어간 것인지 알 수 없기 때문이다. 그는 "KT가 SMS 전송방식을 바꾸는 것말고는 방법이 없을 것"이라고 했다.

황국상 기자 gshwang@mt.co.kr

Copyright ⓒ 머니투데이 & mt.co.kr. 무단 전재 및 재배포, AI학습 이용 금지.