[편집자주] KT 가입자들의 무단 소액결제 피해가 이어지고 있다. 기존에 알려지지 않았던 신종 해킹 수법에 의한 것으로, 등록되지 않은 기지국이 망에 접속해 결제를 유도했다. 이번 사고의 원인인 통신 인프라 보안의 구조적 취약점과 추가 피해를 막기 위한 소비자 대응 등을 짚어본다.
"나도 모르는 사이 언제든 돈이 빠져나갈 수 있다는 게 불안합니다."
20년 넘게 KT를 사용해 온 김모(56)씨는 이렇게 말했다. 김모씨 뿐만 아니라 SK텔레콤, LG유플러스 등 이동통신 3사 가입자들은 본인도 최근 발생한 KT 소액결제 사고의 피해자가 될 수 있다며 불안감을 느끼고 있다. 이번 사고의 원인으로 불법 초소형 기지국(펨토셀)이 지목됐지만, 정확한 사고 경위와 범행 수법은 확인되지 않고 있다. 추가적인 소액결제 피해를 막기 위한 정부·전문가·KT의 조언을 일문일답으로 정리했다.
-이번 사고의 경위는.
지난 1일부터 4일 사이 경기도 광명 일대를 중심으로 승인되지 않은 소액결제 피해 278건(피해 규모 약 1억7000만원)이 확인됐다. 인증받지 않은 펨토셀이 원인으로 추정된다. KT와 정부는 불법 장비가 KT 통신망에 무단 접속해 약 1만9000명의 단말 수신을 가로챘다고 본다. 그중 5561명의 IMSI가 유출됐고, 현재까지 278명이 금전 피해를 봤다. IMSI는 유심(USIM·가입자 식별 장치)에 저장되는 고유 가입자 번호로, 복제폰 범죄 등에 악용될 수 있는 민감한 정보다.
-추가 피해 가능성이 있나.
아직 조사 중이기 때문에 KT 가입자도, 다른 통신사 가입자도 안심하기는 이르다. KT는 신규 초소형 기지국의 통신망 접속을 9일 오전 9시부터 전면 제한했다. 정부는 SK텔레콤과 LG유플러스에도 접속 차단을 요청했다. 하지만 불법 장비가 아직 발견된 것은 아니며 범죄자가 생년월일 등 개인정보가 필요한 소액결제 ARS 인증까지 어떻게 통과했는지는 확인되지 않았다. 가입자들의 자체 점검이 필요하다.
-어떻게 피해를 예방할 수 있나.
소액결제 한도를 최대한 낮추는 것을 추천한다. 소액결제 원천 차단도 방법이다. 그러나 현재 통신사들은 소액결제 원천 차단을 신청하면 번호를 이동하기 전까지 다시 소액결제 서비스를 이용할 수 없도록 조치하고 있다. 소액결제가 범죄에 악용되는 것을 방지하려는 가입자들을 대상으로 원천 차단 서비스를 제공해 왔기 때문이다. 불편함을 줄이려면 고객센터에 연락해 소액결제 한도를 조정하는 것이 안전하다.
더불어 생체인증 서비스를 활용할 수 있다. 생체인증은 단말(스마트폰) 자체에서 인증 정보를 암호화·보관하기 때문에 외부 서버로 정보가 전송되지 않는다. KT는 12일부터 소액결제 인증 수단을 전자문서인증서비스 '패스(PASS)' 앱의 생체인증만 허용한다.
통신사에서 제공하는 유심보호 서비스도 가입할 수 있다. 유심보호 서비스란 본인 인증된 단말기 외 기기에 유심이 장착되거나 단말·유심 정보를 하나로 묶어 관리한다. 타인이 유심 정보만 탈취해 다른 기기에 적용해도 서비스에 접속할 수 없다.
-피해가 의심되면 어디에 신고해야 하나.
통신사 고객센터나 전용 앱에서 소액결제 내역을 확인해야 한다. 통신사 전용앱은 SK텔레콤은 'T 월드', KT는 '마이케이티', LG유플러스는 '당신의 U+'다. 의심되는 피해가 확인되면 즉시 이동통신사, 결제대행사에 신고해야 한다. 필요한 경우 증빙자료를 확보해 경찰에 고소할 수 있다. KT는 24시간 전담 고객센터(080-722-0100)를 운영 중이다.
-스미싱이나 보이스피싱 등 2차 피해는 어떻게 막나.
정보가 유출됐다는 거짓 정보로 범죄 조직이 가입자에 접근할 수 있다. KT는 현재 피해자들을 특정해 연락을 취하고 있다. 하지만 소액결제 원천 차단과 유심 정보 가입 서비스 안내만 진행하고 있다. 만약 상대가 '환불'이나 '피해 보상' 등의 키워드를 언급한다면 사기일 가능성이 크다. 휴대전화 소액결제 피해 사실을 조회하겠다며 개인정보를 탈취하거나 앱 설치를 유도한다면 응해선 안 된다.