해킹 경고 이미지. 사진 셔터스톡

# 경기도 광명경찰서에는 지난달 27~31일 새벽 시간대에 자신도 모르게 휴대전화로 수십만원 상당의 소액결제가 이뤄졌다는 신고가 잇따라 들어왔다. 모바일 상품권 80만4000원 충전 등 100만원 이하의 결제가 총 62차례에 걸쳐 이뤄졌고, 피해 금액은 1769만원 상당으로 집계됐다. 피해자는 총 26명으로 광명시 소하동·하안동에 거주하고 있었으며, 일부는 같은 아파트에 사는 것으로 확인됐다. 이들은 모두 KT 통신사 이용자다.

# 광명시와 인접한 서울 금천구에서도 유사한 사례가 발생했다. 서울 금천경찰서에 따르면, 지난달 26일부터 지난 5일까지 비슷한 수법의 소액 결제 관련 피해 신고가 14건 접수됐다. 마찬가지로 KT 가입자인 피해자들은 늦은 밤부터 새벽 사이 본인이 한 적 없는 소액결제 내역이 찍혀있는 것을 보고 신고했다. 이들 대부분은 근무지나 거주지가 가산동·독산동이었다. 피해액은 총 800만 원 규모다.

경기남부경찰청 전경. 사진 경기남부청

경기남부경찰청 사이버수사대는 지난 6일부터 수도권 특정 지역을 중심으로 발생한 유사 사건을 병합해 수사 중이다. KT도 자체 조사를 진행하고 있다. 하지만 피해자들이 ①인접 지역에 살고 ②비슷한 시간대에 피해를 봤으며 ③KT를 이용한다는 공통점에도 불구하고 사건 경위에 대한 의문은 좀처럼 풀리지 않는 상황이다.

경찰은 이번 사건을 해킹으로 추정하고, 개통 과정에서의 범행 가능성을 살펴보고 있다. 특히 특정 대리점과 관련해 범행이 이뤄졌을 가능성을 염두에 두고, 피해자들이 휴대전화를 개통한 지점을 파악 중이다. 하지만 피해자들이 각자 개통 대리점이 다르거나 정확히 기억하지 못하는 경우도 많아 현재로선 연관성을 찾지 못한 상황이라고 한다.

경찰은 피해자들이 전통적인 스미싱 범죄처럼 특정 웹사이트에 접속하거나 악성 앱을 설치했는지도 조사했다. “통상적인 소액결제 범죄는 피해자가 어떤 행동을 취했다가 당한 경우가 많았기 때문”(KT 관계자)이다. 하지만 단서를 잡을 만한 내용은 아직 파악되지 않았다고 한다. 소액결제가 이뤄진 판매처나 결제 대행사(PG사)도 피해자별로 다양했다.

7일 소액결제 피해자들끼리 모여 서로의 주소지를 파악한 후, 네이버 지도를 활용해 직접 표시한 피해 지역. 사진 독자

전문가들 사이에선 기지국과 중계기 등 네트워크 장비가 해킹됐을 가능성도 거론된다. 실제 피해자 중에는 KT 전산망을 통하는 알뜰폰 요금제 이용자도 있었기 때문이다. 염흥열 순천향대 정보보호학 명예교수는 “해당 지역의 무선 공유기 등 액세스 포인트를 통해 악성 코드가 침투되고, 그 결과 휴대전화가 해커에 의해 장악됐을 가능성도 있다”고 주장했다. 다만 소액의 범죄 수익을 노리고 이러한 방식으로 범행하는 경우는 드물다고 했다.

“지금까지 보지 못했던 새로운 방식의 해킹일 가능성”(김형중 고려대 정보보호대학원 교수)도 점쳐진다. 김 교수는 “해커가 휴대전화를 장악했지만 마음대로 휘젓지 못하고, 주인 몰래 100만원 이하의 소액결제만 할 수 있었던 상황으로 보인다”며 “공격자가 굉장히 취약한 구석을 찾아 노린 것”이라고 분석했다. 권헌영 고려대 정보보호대학원 교수도 “KT와 보안 당국이 종합 점검을 하는 수밖에 없다”고 말했다.

경찰은 피해자들의 휴대전화에 대한 포렌식을 진행할 예정이다. 경찰 관계자는 “통상의 스미싱 범죄와는 사건의 양상이 달라 다양한 가능성을 열어놓고 수사 중”이라고 밝혔다. 김준영 경기남부청장은 8일 오전 간담회를 열고 해당 사건 관련 질의에 답변할 예정이다.

지난 6일 업로드 된 소액결제 관련 KT의 공지사항. KT 홈페이지 캡처

한편 KT는 지난 6일 휴대전화 PG사와 협의해 상품권 판매 업종 결제 한도를 기존 100만원에서 10만원으로 일시적으로 축소하겠다고 밝혔다. 또 무단 결제 피해가 벌어진 지역에서 일정 기간 소액 결제를 이용한 가입자 중에 이상 거래로 보이는 경우를 가려내 개별 연락하고 상담을 지원할 방침이다.