KT 소액결제 시스템을 노린 침해 사건의 피해 지역이 당초 알려진 범위를 넘어 서울과 경기 여러 지역으로 확대된 것으로 나타났다.

21일 국회 과학기술정보방송통신위원회 소속 황정아 더불어민주당 의원이 KT로부터 제출받은 자료에 따르면 이번 사건의 피해는 서울 서남권뿐 아니라 서초구와 동작구, 경기 고양시 일산동구 등 다양한 지역에서 발생한 것으로 확인됐다.

초기에는 불법 소형 기지국인 펨토셀의 전파 범위가 좁다는 점 때문에 특정 지역에서만 피해가 발생한 것으로 분석됐다. 그러나 수사 과정에서 범행 장비가 차량에 실린 채 이동하면서 사용된 사실이 확인되면서 피해 지역이 넓어졌을 가능성이 제기되고 있다.

보안 전문가들은 이번 사건이 단순한 불법 기지국 장비 악용을 넘어 조직적 범행일 가능성도 있다고 보고 있다.

염흥열 순천향대 정보보호학과 교수는 “소액결제 침해 대상이 무작위였는지 아니면 해킹 등을 통해 확보한 개인정보를 토대로 특정 이용자를 노린 범행이었는지 등을 살펴볼 필요가 있다”고 설명했다.

KT 측은 불법 기지국을 통해 국제이동가입자식별번호(IMSI)와 국제단말기식별번호(IMEI), 휴대전화 번호 등의 정보가 노출됐다고 밝혔다. IMSI는 이동통신 가입자를 식별하는 번호이고, IMEI는 단말기를 구분하는 고유 식별값이다.

이 같은 정보가 수집될 경우 공격자는 특정 단말기를 통신망에서 식별하거나 인증 절차를 우회하는 방식으로 소액결제를 시도할 수 있다.

다만 KT는 소액결제 인증 과정에 필요한 이름이나 생년월일 등 추가 개인정보는 유출되지 않았다는 입장이다. 이러한 설명이 사실이라면 사건의 원인이 단순 기지국 장비 악용이 아니라 서버 침해 가능성과도 연결될 수 있다는 분석이 나온다.

앞서 KT는 지난 4월 SK텔레콤 해킹 사고 이후 외부 보안업체와 함께 약 4개월 동안 전사 서버에 대한 보안 점검을 진행했다. 그 결과 침해 흔적 4건과 의심 정황 2건을 확인해 한국인터넷진흥원(KISA)에 신고한 상태다.

현재 진행 중인 민관 합동 조사에서는 실제 개인정보 유출 여부와 범행 방식, 추가 피해 규모 등이 확인될 전망이다.

수사기관은 이번 사건에서 불법 기지국 운용과 통신 정보 수집, 부정 결제 등 복합적인 범죄가 이루어졌을 가능성을 염두에 두고 있는 것으로 알려졌다.

불법 기지국을 허가 없이 설치·운용할 경우 전파법 위반이 성립할 수 있다. 단말기 식별정보를 변조하거나 통신망을 속이는 방식으로 장비를 운용했다면 추가 처벌 대상이 될 가능성도 있다.

또 통신 정보를 몰래 수집하거나 전송 내용을 가로챈 경우에는 통신비밀보호법상 전기통신 감청 금지 규정이 적용될 수 있다.

범행 과정에서 통신사의 인증 시스템을 침입하거나 서비스 운영을 방해했다면 정보통신망법상 정보통신망 침입 또는 형법상 컴퓨터 등 장애업무 방해 혐의가 함께 문제될 수 있다.

아울러 통신 인증 절차를 우회해 소액결제를 발생시키고 금전적 이익을 취득했다면 형법상 컴퓨터 등사용사기 혐의가 적용될 수 있다는 분석도 나온다.

보안 전문가들은 범행기술을 직접 보유한 인물과 실제 실행 조직이 분리돼 있을 가능성도 있다고 보고 있다. 경찰 역시 장비 운용자뿐 아니라 해킹기술 제공 여부 등 윗선 개입 가능성을 포함해 수사를 확대하고 있는 것으로 전해졌다.