KT 가입자들을 대상으로 새벽 시간대에 무단 소액결제가 집중 발생했지만, 범행 수법은 여전히 확인되지 않고 있다. 단순 결제를 넘어 본인인증 앱 ‘패스(PASS)’와 카카오톡 계정까지 조작당한 정황이 드러나면서 통신·인증 체계 전반의 취약성이 드러났다는 지적이다.
9일 경찰과 KT에 따르면 피해는 지난달 말부터 이달 초 경기 광명시와 서울 금천구에서 집중 발생했으며, 모두 새벽 시간대라는 공통점이 있다. 초기에는 스미싱 가능성이 제기됐지만, 악성 앱 정황은 확인되지 않았다.
일부 피해자는 카카오톡에서 강제 로그아웃되거나 PASS 앱이 통제됐다고 진술한 것으로 알려졌다. 한 피해자의 인증 기록에는 지난달 27일 새벽 4시9분 상품권 사이트에서 문자 인증이 이뤄졌다는 내역이 남아있지만, 실제 휴대전화에는 인증 문자가 오지 않았다. 인증 체계 자체가 우회된 것이다.
보안업계에서는 △복제폰 △ARS(음성) 인증 △중간자 공격(MITM) 등 가능성이 동시에 거론된다. 다만 복제폰은 유심과 개인정보를 모두 복제해야 하는 고난도 공격이라는 점에서 현실성이 낮다는 반론도 있다. 통신사들이 운영 중인 ‘비정상 인증 차단 시스템’(FDS) 역시 복제폰 가능성을 낮추는 요인으로 꼽힌다.
외국계 보안회사 임원 A씨는 “사용자와 앱 간 통신 과정에서 정보를 빼내는 중간자 공격 가능성도 배제할 수 없다”고 설명했다. 그러나 “고난도 해킹을 감행했다면 단순 소액결제만 노린 것은 납득하기 어렵다”는 지적도 나온다. 현금화 과정에서 환전·IP 추적이 용이해 범인 검거가 어렵지 않다는 이유에서다.
경기남부경찰청 사이버수사대는 중계기 해킹 등 다양한 경로를 열어두고 통신사, 결제대행업체, 상품권 판매업체 등을 조사 중이다.
KT는 지난 6일 피해 확산을 막기 위해 상품권 결제 한도를 100만원에서 10만원으로 낮췄다. 이어 “의심 사례에 대해서는 피해 금액이 납부되지 않도록 사전 조치를 하고 있다”고 밝혔다.
