기사를 읽고도 풀리지 않은 궁금증이 있었나요? 그렇다면 디지털데일리 기자들이 직접 설명해드리겠습니다. 기사에 댓글로 남겨주신 이야기를 ‘댓글리뷰’ 코너를 통해 답해드립니다. 궁금한 점이 있다면 언제든지 댓글로 남겨주세요. <편집자주>

[디지털데일리 강소현기자] “(이번 사고의) 가장 큰 의문점은 (해커가) 개인정보를 보유하고 있다 하더라도 어떻게 가입자식별번호(IMSI)를 특정해 매칭했는가?”

지난 13일 ‘펨토셀(Femtocell)은 이번 사고의 원인 중 하나로 추정될 뿐이므로, 개인정보 유출 경로 파악에 집중해야 한다’는 내용의 기사 <KT 소액결제 원인 지목된 ‘가짜기지국’, 그리고 풀리지 않는 의혹>에 달린 댓글이다.

결론부터 말하면, IMSI와 개인정보 간 매칭은 조건부로 가능하다는 게 업계전문가들의 분석이다. 단순히 IMSI만 확보해선 개인을 특정할 수 없지만, 해커가 사전에 ‘브리지 데이터(Bridge data)’라 불리는 연결고리를 확보했다면 가능하다는 것이다.

앞서 서울·경지 지역 KT 고객을 중심으로 소액결제 다중피해 사건이 발생했다. 경찰청에 따르면 15일 기준 파악된 피해자는 총 199명, 피해액은 약 1억2600만원이다.

KT는 ‘펨토셀’을 활용한 범행일 가능성에 주목하고 있다. 관리가 허술한 펨토셀을 ‘가짜 기지국’(Fake Base Station)처럼 동작하며 KT의 코어망에 붙으면서 붙어 고객의 실시간 통신 트래픽을 가로챘을 수 있다는 설명이다. 펨토셀은 실내 통신 품질을 높이기 위해 가정이나 사무실에 설치하는 소형 기지국 장비다.

이 가짜 기지국을 통해 유출된 고객 정보는 ‘IMSI’ 뿐이라는 게 KT의 주장이다. 약 5561명의 고객 단말에서 IMSI 유출 가능성이 확인됐다는 것이다. 유심복제에 필요한 다른 정보-단말기 고유식별번호(IMEI), 유심 인증키-등의 해킹 가능성에 대해선 선을 그었다.

하지만 전문가들은 해커가 IMSI 외 추가적인 정보를 다른 경로에서 이미 획득했을 가능성을 배제하기 어렵다고 보고 있다.

가짜기지국인 KT의 코어망에 붙으려면 IPsec(Internet Protocol Security) 인증키가 필요하고, 소액결제 범죄가 이뤄지려면 해커가 ▲인증문자 혹은 ▲음성정보에 더해 ▲이름·전화번호·생년월일 등 개인정보가 각각 요구되기 때문이다.

즉, 펨토셀 해킹에 의한 IMSI 유출만으로는 소액결제 범죄를 실해하기 매우 어렵다는 게 업계 관계자들의 중론이다. 실제 국내는 물론 해외에서도 펨토셀 해킹이 곧바로 소액결제 범죄로 이어진 사례는 확인되지 않았다.

그럼에도 실제 피해가 발생한 만큼 해커가 다른 추가 정보를 어떻게 확보됐는지, 그리고 이를 어떤 방식으로 IMSI와 매칭시켰는지가 이번 사고의 핵심 의문으로 남는다.

전문가들은 이 지점에서 브리지 데이터의 역할을 지목한다. 예컨대 단말(휴대폰)은 이동하면서 기지국 간 연결을 갱신하게 되는데, 이 때 단말은 인증을 위한 식별자(IMSI)를 네트워크에 다시 전송한다. 가짜 기지국이 이러한 IMSI 연결 로그를 반복적으로 확보하면 특정 단말이 주로 어느 지역을 오가는지 등 행동 패턴을 분석할 수 있다. 이 행동 패턴이 바로 개인정보와 IMSI를 이어주는 연결고리로 작용할 수 있다는 것이다.

IMSI 자체는 이름이나 전화번호 등의 정보를 포함하고 있지 않다. 하지만 특정 장소에서 동일 IMSI가 반복적으로 관찰되면 해당 장소의 특성과 결합해 신원을 추정할 가능성은 커진다. 이 때문에 글로벌 이동통신사업자협회(GSMA) 등도 IMSI 캐처(IMSI Catcher)의 위험성을 경고해왔다.

일각에선 해커가 이러한 IMSI 기반 행동 패턴을 활용해 결제 위치와 실제 단말 위치를 의도적으로 맞춰 통신사 보안시스템의 이상거래탐지(FDS)를 피해갔을 가능성도 제기된다.

결국, IMSI와 개인정보 간 매칭은 고도의 기술이 요구된다기 보단 상관관계 분석의 영역에 가깝다는 게 업계관계자들의 전언이다. 다만 어디까지나 다른 경로에서 확보된 개인정보가 존재한다는 전제가 필요하다.

아직까지 펨토셀 해킹이 이번 사고의 직접 원인인지 여부는 확인되지 않지만, 만약 이러한 시나리오가 사실로 드러날 경우 장비가 해커에게 통로를 열어줬다는 점에서 KT의 보안 관리 책임을 완전히 배제하긴 어려울 것으로 보인다.

이에 전문가들은 장기적으로 펨토셀과 같은 소형 기지국에 대한 기업의 관리 체계 역시 강화돼야 한다고 지적한다.

익명을 요구한 통신장비 업계관계자는 “이미 관리시스템에 존재하지 않는 장비가 코어네트워크에 연동되어 있었다는것”이라며 “이 경우 인터넷 서비스의 댁내 장치 등은 인증을 통해 네트워크에 연동할 위험이 있다”고 말했다.



- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -