경기 광명·서울 금천 지역 KT망 이용자들 사이에서 동시다발적인 소액결제 피해가 발생한 가운데 이번 해킹이 단순 악성 앱이나 대리점 정보 유출을 넘어 통신망 단위의 침해일 수 있다는 주장이 제기되고 있다.

9일 이동통신업계에 따르면 지난달 27일 첫 피해가 접수된 소액결제 피해는 이달 6일까지 70건을 넘어섰다. 피해자 대부분은 광명시·금천구에 거주 중인 KT 또는 KT 기반 알뜰폰 요금제 이용자다.

피해자들은 대부분 새벽 시간대 본인도 모르는 사이 휴대전화 소액결제를 통해 모바일 상품권 구매, 교통카드 충전 등의 결제가 발생했다고 진술한 것으로 알려졌다. 광명 사건의 경우 62차례에 걸쳐 약 1769만원 상당의 결제가 이뤄졌으며, 금천 피해자들도 800만원 안팎의 피해를 본 것으로 파악됐다.

사건의 원인을 두고는 다양한 해석이 나왔지만, 뚜렷한 단서는 찾지 못한 상태다. 초기에는 특정 대리점을 통한 개통 정보 유출 가능성에 무게가 실렸으나, 피해자들이 이용한 대리점은 모두 달랐고 기기 종류나 요금제, 가입 시점 등에서도 공통점은 확인되지 않았다. 또한 안드로이드에 이어 iOS까지 피해가 발생했다는 점에서 단말기 악성 앱 설치 또는 루팅 기반 해킹 가능성도 낮은 것으로 분석된다.

정보보안 업계에서는 KT의 인증망 자체가 침해됐을 가능성이 있다는 분석을 내놓고 있다. 피해자 일부가 결제가 발생한 시점에 카카오톡 등 주요 앱에서 로그아웃이 발생했다고 밝혔기 때문이다.

카카오톡처럼 전화번호 기반 인증 시스템을 사용하는 앱에서, 이용자 조작 없이 자동 로그아웃이 발생하는 일은 드물다. 이는 보통 사용자의 로그인 상태를 유지하는 '세션'이라는 인증 정보가 만료되거나 무효화될 때 나타나는 현상이다.

이는 이번 사건이 단순한 소액결제 우회에 그치지 않고, KT망 내부의 유심(USIM) 정보나 가입자 인증값이 외부에 노출됐을 가능성을 뒷받침하는 정황으로 해석된다.

유심 인증은 통신망 접속은 물론 본인확인과 결제 등 대부분의 모바일 인증 서비스의 기반이 되는 핵심 정보로 이 정보가 침해될 경우 결제뿐 아니라 계정 탈취나 통화·문자 가로채기 등으로 피해가 확산될 수 있다.

이에 따라 현재까지 드러난 모바일 상품권 결제 등의 피해는 침해사고의 '빙산의 일각'일 수 있다는 우려도 제기된다. 공격자가 확보한 인증정보를 기반으로 추가적인 침입이나 장기적인 정보 탈취를 시도했을 가능성도 배제할 수 없다는 지적이다.

다만 피해가 경기 광명과 서울 금천 등 특정 지역에 몰려 있다는 점은 쉽게 설명되지 않는다. 이에 대해 업계서는 KT의 인증 시스템이나 결제 연동 서버가 지역 단위로 분산 운영되고 있을 가능성도 주목하고 있다.

이같이 구조적인 침해 가능성과 지역 편중 현상이 동시에 나타난 가운데, 경찰은 다양한 가능성을 열어두고 수사를 이어가고 있다. 경기남부경찰청 사이버수사대 관계자는 "현재 다양한 가능성을 열어두고 수사를 진행하고 있다"고 말했다.

KT는 사건의 구체적 배경이나 원인에 대한 입장을 내놓지 않았다. KT 관계자는 "이번 사건은 현재 경찰 수사 중인 관계로 드릴 수 있는 말씀이 없다"고 말을 아꼈다.