펨토셀·큐싱·NFC 탈취·심 스와핑… 일상 파고드는 해킹 위협

[더퍼블릭=양원모 기자] 국내 해킹 범죄가 진화를 거듭하며 금융·통신 전반을 위협하고 있다. 불법 기지국, QR 코드 위조, 간편 결제 탈취 같은 신종 수법이 일상으로 침투하고 있는 것이다. 업계에서는 스마트폰이 사실상 '디지털 금고' 역할을 하는 만큼 보안 패러다임 전환이 불가피하다고 경고하고 있다.

19일 경찰에 따르면 이달 초 스미싱으로 확보한 신용 카드 정보를 기반으로 위장 가맹점을 세운 뒤 허위 매출을 발생 시키는 조직이 적발됐다. 피해 규모는 30억원, 거래 횟수는 7만 7000여 건에 달했다. 이들은 한 번에 5만원 이하 소액 결제를 반복하는 방식으로 추적을 피하려 했다.

초소형 기지국(펨토셀)을 악용한 무단 소액 결제 사건도 발생했다. KT에 따르면 18일까지 피해 고객은 362명, 피해 금액은 2억 4000만원에 달한다. 롯데카드도 전날 외부 공격으로 회원 297만명의 개인 정보가 유출됐다고 밝혔다. 이 가운데 28만명은 카드 번호, 비밀번호, 유효 기간, CVC 번호까지 포함돼 실제 부정 사용 위험에 노출됐다.

정부는 부랴부랴 대응에 나섰다. 이재명 대통령은 수석·보좌관 회의에서 "진화하는 해킹 범죄에 맞서 범정부 차원의 종합적 대책을 서둘러야 한다"며 피해 최소화를 지시했다. 이달 들어 세 번째 관련 주문이다.

보안업계는 최근 해킹이 개인 정보 유출을 넘어 직접 금융 피해로 이어지고 있다는 점에 주목하고 있다. 악성 앱 설치 없이도 휴대전화 소액 결제가 진행되는 사례가 확인되는 등 통신망 자체가 공격 통로가 되고 있다는 것이다. KT 사건도 구체적 방식은 조사 중이지만, 네트워크·결제 시스템을 아우르는 고도 기술이 동원된 것으로 분석된다.

생활 영역에 침투하는 수법도 확산되고 있다. '큐싱(Qshing)'은 공유 자전거 QR 코드에 위조 코드를 덧붙여 악성 사이트로 연결시키는 방식이다. 서울시는 따릉이 이용자들에게 QR 코드 진위 확인을 당부하기도 했다. 

삼성페이, 애플페이 등에서 사용되는 NFC 기반 간편 결제도 안전지대가 아니다. 실물 카드를 분실하지 않았어도 NFC 기능이 활성화된 스마트폰의 결제 정보가 탈취돼 부정 결제로 이어질 수 있다. 금융보안원은 지난 4월 NFC 결제 정보 악용 가능성을 공식 경고했다.

심 스와핑(SIM swapping)도 문제다. 심 스와핑은 공격자가 심 정보를 이용 또는 변경해 대상자의 통신을 가로채는 공격이다. 해커는 이름, 전화번호 등 개인 정보를 이용해 인증을 통과하고 새 심으로 복제폰을 발급받는다. 이후 전화·문자까지 장악해 간편 결제 비밀번호를 초기화해 자기 계정으로 바꿔놓는다. 

예방책으로는 소액 결제 차단 또는 최소 한도 설정, 카드사 앱의 실시간 알림 서비스 활용, 해외 결제 제한 등이 언급된다. 명의 도용 방지 서비스와 무료 신용 조회 서비스로 계좌·대출 개설 여부를 확인하는 것도 추천된다. 방송통신위원회는 "소액 결제 피해를 빌미로 한 2차 스팸 문자에도 주의해달라"고 당부했다.