우리가 휴대폰으로 소액결제를 할 때 KT가 내세우는 'ARS 안심인증'이라는 안전장치가 있어요. 이 서비스는 결제 시 ARS 전화를 걸어 인증하는 방식인데, 발신번호와 기기가 똑같이 일치하지 않으면 부정 결제를 가려내도록 설계됐죠. 그래서 한때 '이거 하면 소액결제 무단 결제 걱정 뚝'이라는 평가도 들었어요.
조사 결과, 가입자 362명 중 단 5명만이 이 서비스를 가입한 상태였고 그마저도 사전에 ARS 인증 문자를 못 받았다고 해요. 더 충격적인 사실은 ARS 안심인증뿐 아니라, 필수 PIN 번호 설정이 필요한 '휴대폰 안심결제' 가입자 3명도 뚫렸다고 합니다.
이게 무슨 뜻이냐면, KT가 'PIN 번호 걸어두면 안전해요' 하는데 이건 선택 사항인 데다, 심지어 그 절차마저 쉽게 우회당한 가능성이 높다는 것입니다.
요즘 사건의 핵심은 '펨토셀'이라는 작은 기지국 장치를 악용한 해킹이에요. 펨토셀은 가정이나 사무실에서 신호를 잡아주기 위해 설치하는 장비인데 공격자는 이걸 마치 가짜 기지국처럼 만들어서 KT의 코어망에 몰래 들어갔다는 거예요.
이런 수법이 문제인 이유는, ARS 안심인증은 통신망에서 날아오는 신호를 '진짜냐 가짜냐' 판단하는 구조가 아니기 때문에 가짜 신호에 속아넘어간다는 겁니다.
KT는 피해가 나면 100% 보상해 준다고 해요. 그런데 '고객 불안 야기'를 이유로 전사적인 서비스 안내는 미뤄왔고, 고객에게 PIN 번호 설정도 '선택'으로 두고 있습니다. 결국 사용자가 귀찮아하거나 모르고 지나칠 수밖에 없다는 말이죠.
펨토셀 해킹으로 코어망에 불법 접근이 가능했다는 건 통신망 뼈대가 뚫렸다는 뜻이에요. 내부 서버 침해 가능성까지 나와서 앞으로 더 큰 개인정보 유출이나 피해 우려가 커지고 있어요.
결국 우리 휴대폰 소액결제 안전도는 '내가 PIN 몇 개 설정했다고 해서 끝나는 게 아니라 통신사 망 관리가 얼마나 철저하냐'에 의존하는 셈이네요. 그러니 혹시라도 결제 서비스 쓰신다면 지금 당장 PIN 설정부터 확인하세요! 내 돈 내 손으로 지키는 게 최선이니까요.
