50대 B씨는 상선의 지시를 받아 장비를 전달받은 뒤, 본인이 섭외한 30대 C씨를 통해 서울 전역에서 시험 운영했으나 작동 불량으로 중단한 것으로 조사됐다. 경찰은 이들이 지난해 5월에도 동일한 수법으로 범행을 시도했다가 실패한 전력이 있다고 보고 있다. 당시에도 차량에 불법 기지국을 싣고 이동하며 휴대전화 접속을 유도하는 이른바 ‘워 드라이빙’ 수법이 사용된 것으로 파악됐다.
장비 일부는 운반책을 통해 중국으로 반출됐고, 남은 장비는 다시 국내에서 또 다른 장비 운용 담당인 D씨를 거쳐 A씨에게 전달됐다. 범행에 사용된 노트북과 휴대전화는 사건 직후 중국으로 넘어가 현재 확보되지 않은 상태다.
경찰이 불법 펨토셀을 정밀 분석한 결과, KT 인증서와 인증 서버 IP, 범행에 사용된 셀 ID, 관리자 접속 기록 등이 다수 확인됐다. 해당 인증서는 2019년 경기북부의 한 군부대에 설치됐다가 2020년 막사 이전 과정에서 유실된 KT 펨토셀의 것으로 드러났다. 경찰은 상선이 유실 장비를 불법적으로 입수해 저장된 인증서를 그대로 활용한 것으로 보고 있다.
KT가 자체 전수 조사에서 발견한 불법 펨토셀 ID 20개에 대해서도 경찰이 접속 기록을 분석한 결과, 이 중 7개는 이번에 확보한 불법 기지국과 직접 연동된 것으로 파악됐다. 나머지 셀 ID 역시 시험 운영 정황과 교차 접속 기록이 발견돼 모두 동일 조직의 범행으로 경찰은 판단했다.
경찰은 범인들이 무단 소액 결제에 필요한 가입자 개인 정보를 언제, 어디서 확보했는지도 핵심 쟁점으로 보고 있다. KT가 2022년부터 지난해까지 BPF도어BPFDoor 악성 코드 공격을 받았을 당시 외부로 유출된 정보를 범인들이 입수했을 가능성도 제기되고 있으나, 경찰은 두 사건 간의 직접적인 연관성에 대해서는 확인이 어렵다는 입장이다.
경찰은 불법 기지국을 직접 운용한 A씨를 포함해 장비 운용조 5명, 자금 세탁조 3명, 대포폰 명의 제공자 5명 등 총 13명을 검거했다. 해외에 있는 상선은 신원을 특정해 인터폴 적색 수배를 요청했다. 중국으로 출국한 또 다른 피의자에 대해서도 수배 및 입국 시 통보 조치를 내렸다.
지난달 19일 경기남부경찰청 반부패·경제범죄수사대는 KT 판교·방배 사옥 등 3곳에 대해 압수수색을 벌이고, 사고 대응 과정에서 서버를 고의로 폐기한 정황이 있는지 확인하고 있다.
@Meerae AI 빅데이터 연구소 meerae.info@gmail.com