KT 이용자들이 소액결제 피해를 입은 사건을 두고 김용대 카이스트 ICT 석좌교수가 "단기 솔루션으로 KT를 이용한 소액결제를 막아야 한다"고 추가 피해를 막는 방법을 제시했다.
김용대 교수는 11일 SBS라디오 인터뷰에서 지금의 소액결제 피해를 두고 "펨토셀(초소형 기지국)을 이용한 도청이라면 특별히 할 수 있는 게 소액결제를 막는 것"이라고 주장했다.
김 교수는 이번 사태를 두고 "이전에 보지는 못했지만 충분히 가능한 시나리오라는 생각은 하고 있었다"며 "소액결제가 문자 기반으로 돌아가기 때문에 (복제폰으로) 문자를 대신 받을 수 있으면 (해커들이) 소액결제는 당연히 마음대로 할 수 있기 때문"이라고 설명했다.
KT 무단 소액결제 피해 건수가 10일 현재 278건, 피해 금액은 1억7000여만 원에 이르는 것으로 KT 자체 집계 결과 파악됐다. 김 교수는 이렇게 휴대전화 주인이 결제하지 않았음에도 무단으로 소액결제가 가능했던 배경을 두고 복제폰을 언급한 것이다.
즉 일반적으로 소액결제를 할 경우, 자신의 휴대전화로 문자로 오는데 그 문자를 자신의 휴대전화가 받지 못하고 다른 전화기, 즉 복제폰으로 가로챌 수 있으면 해커가 휴대전화 주인도 모르게 소액결제를 할 수 있는 것이다.
김 교수는 이번 해킹의 원인으로 꼽히는 불법 펨토셀을 두고 "펨토셀은 원래 통신사에서 공식적으로 사용자들에게 배포하는 공유기 같이 생긴 기기"라며 "예를 들어서 산골 벽지에 있는 군부대에 기지국을 깔기는 너무 비싸기에 인터넷에다 이 펨토셀이라는 장비를 꽂으면 거기에 작은 기지국 같은 역할을 하는 애가 펨토셀"이라고 설명했다.
김 교수는 "그런데 펨토셀은 기지국이고 휴대폰부터 기지국까지의 통신은 암호화돼 있지만 펨토셀에서는, 그러니까 기지국에서는 일단 암호화가 풀린다"며 "그래서 통화고 문자고 펨토셀에서는 풀린다"라고 설명했다.
김 교수는 "그렇기에 누군가가 펨토셀 해킹을 원격에서 한다거나 혹은 해킹된 펨토셀을 KT 망에다가 꽂는다거나 이렇게 됐을 때는 해킹을 힌 뒤, 문자나 통화 내용 이런 것들 도청도 할 수 있다"고 주장했다.
김 교수는 이번 사태의 피해 지역이 몇몇 지역에 집중된 것을 두고는 "복제 휴대폰이 원래 내가 있는 기지국 이외에 다른 곳으로 갑자기 뻥 뛰어서 나타날 수는 없다. 예를 들어서 해커의 복제폰도 금천구에 있고 피해자도 금천구에 있을 때 복제폰 시나리오가 완성이 되는 것"이라며 "아마 이상 행위 탐지 시스템 때문에, 펨토셀 같은 경우는 결국은 펨토셀 장비를 설치해야 한다. 그런데 그 장비를 설치한 곳이 금천구나 영등포 등에 설치를 했으면 그 주위에 있는 사용자들이 영향을 받는 것"이라고 설명했다.
김 교수는 추가 피해를 막기 위한 방법에 대해서는 "지난 10년 동안 KT에서 펨토셀을 10만 개 정도 뿌렸다는 보도가 있다. 그 뿌려진 펨토셀을 누군가가 중고마켓이나 이런 데서 사서 그것을 해킹하고 그냥 다시 KT망에 연결하면 그때부터 도청이 가능해진다"며 "그렇기 때문에 지금으로서는 만약 펨토셀을 이용한 도청이라면 특별히 할 수 있는 게, 단기 솔루션으로는 KT를 이용한 소액결제를 막는 게 하나의 단기 솔루션일 것 같다"라고 주장했다.
전체댓글 0