▲ 9일 한 시민이 서울 kt 판매점 앞을 지나고 있다. (사진=연합뉴스)

[e-뉴스 25=백지나 기자] KT 가입자들을 겨냥한 소액결제 피해 사건이 커지자 정부가 민관합동조사단을 꾸려 본격적인 경위 파악에 나섰다.

경찰 수사와 병행해 조사단은 기술적 원인 규명에 집중할 것으로 보이면서 사건의 실체가 어느 정도 드러날지 주목되고 있다.

과학기술정보통신부가 9일 출범시킨 민관합동조사단은 과기정통부, 한국인터넷진흥원(KISA), 민간위원 등 14명이 참여한다.

경기남부경찰청 사이버수사대 수사가 먼저 진행 중인 만큼 조사단은 다양한 가능성을 열어두고 침해가 발생한 기술적인 배경 파악에 역량을 모을 전망이다.

이번 사건은 KT 고객 또는 KT 망 이용자만을 대상으로 경기 부천·광명, 서울 금천구 등 특정 지역에서 집중해 피해가 발생했다는 점에서 이례적이지만 그 수법에 대해서는 추측만 무성하다.

당국은 스미싱을 활용한 통상적인 소액결제 사건과는 다른 양상을 보이는 만큼 고도화된 사이버 공격이 있었는지 여부를 살펴볼 방침이다.

업계에서는 통신망을 거치는 과정에서 데이터를 가로채는 '중간자 공격'(MITM), 복제폰, 기지국·중계기 등 네트워크 인프라 해킹, 국내에 전례 없는 고도화된 악성코드 활용 가능성 등을 거론한다.

조사단이 정보보호 분야 외부 전문가 자문단을 운영하는 것도 이런 다양한 시나리오에 대비하기 위한 조치로 풀이된다.

서울 서남권 및 인접 경기권 가입자들에게 피해가 몰린 만큼 지역을 기반으로 표적 공격 가능성을 높다는 게 전문가들의 시각이다.

민관합동조사단은 우선 기초 사실관계를 확인한 뒤 조사 범위를 넓히고, 원인 분석을 통해 재발 방지 대책 수립까지 지원할 계획이다.

이번 조사단의 조사 범위에는 국회에서 제기된 KT의 '서버 조기 폐기' 의혹은 포함되지 않았다.

앞서 KT는 중국 배후로 추정되는 해킹 조직이 정부 기관과 KT·LG유플러스를 해킹했다는 의혹과 관련해 올해 7월 중순 해킹 의혹을 당국으로부터 통보받고 8월 초 의도적으로 해당 서버를 폐기했다는 의혹을 받았다.

이 해킹 조직이 KT 내부 개인정보를 탈취했고, 이번 소액결제 피해와도 연결될 수 있다는 추측도 일각에서는 제기됐지만 조사단의 범위에서 제외된 것은 당국이 사실상 두 사건의 연관성은 낮다고 본 셈이다.

KT는 현재까지 개인정보 해킹 정황은 없다고 선을 긋고 있다. 그러나 피해자들이 자신의 동의 없이 소액결제 승인이 이뤄졌고 실제 금전적 피해가 발생한 이상 원인 규명 없이는 불안감이 해소되기 어렵다.

김용대 카이스트 교수는 개인정보 유출에 따른 복제폰 가능성을 높게 점치며 "SK텔레콤 때보다 더 많은 개인정보가 유출됐을 가능성도 크다"고 말했다.

김 교수는 피해 지역 내에서 복제폰이 만들어졌다면 거리가 가까워 '비정상 인증 시도 차단 시스템'(FDS)으로도 탐지가 어려울 수 있다고 부연했다.

당국 관계자는 "피해 경로를 파악하는 과정에서 모든 부분을 자연스럽게 들여다보게 될 것"이라고 말했다.

조사 기간도 관심사다. 당국의 민관합동조사단은 2014년부터 올해까지 7차례 운영됐으며, 가장 최근 꾸려졌던 SK텔레콤 해킹 사태 민관합동조사단은 4월 말부터 7월 초까지 활동했다.

다만 SK텔레콤은 이용자 전원을 대상으로 전수 조사를 해야 했던 것과 달리, 이번 사건은 피해 지역과 피해자, 피해 내역이 특정돼 있어 원인만 규명되면 조사 기간은 상대적으로 짧을 수 있다는 관측도 나온다.

보안업계 한 전문가는 "사건의 성격이 네트워크 단위 공격인지, 개별 단말기·앱을 통한 침입인지에 따라 결론이 크게 달라질 수 있다"고 말했다.