[해킹] 수도권 KT 이용자 타겟 소액결제 피해 급증, 국내 첫 '가짜 기지국' 공격 현실화되나?

1. 주제

1.1. 제목 

"가짜 기지국이 내 폰을 낚아챈다"…사상 초유의 KT 통신망 해킹, 소액결제 대란의 전말

 

1.2. 핵심 요약

사건/기술: 차량에 탑재된 이동식 가짜 기지국(IMSI Catcher)을 이용, 특정 지역 KT 가입자의 통신을 가로채 SMS 인증번호를 탈취한 대규모 무단 소액결제 해킹 사건 발생.

피해/영향: 수도권 서남부(광명, 금천 등) 지역 주민 수백 명에게 1인당 최대 100만 원의 금전적 피해 발생. 통신망 자체의 안전성에 대한 국민적 신뢰가 흔들리는 계기가 됨.

핵심 원인/기술: 이동통신망의 인증 취약점을 파고든 중간자 공격(MITM). 공격자가 불법 초소형 기지국(펨토셀)으로 정상 기지국을 위장, 피해자의 휴대폰을 강제 접속시켜 통신 내용을 감청하고 SMS 인증번호를 실시간으로 탈취.

2. 주요 내용 (Key Details)

2025년 8월 말부터 9월 초 사이, 경기 광명시와 서울 금천구 등 특정 지역에 거주하는 KT 및 KT 알뜰폰 이용자들을 대상으로 심야 시간대에 무단 소액결제가 집중적으로 발생하는 사건이 일어났습니다. 피해자들은 자신도 모르는 사이 모바일 상품권, 교통카드 충전 등의 명목으로 소액결제 한도인 100만 원에 가까운 피해를 보았습니다.

초기에는 단순 스미싱으로 추정되었으나, 피해가 특정 지역에 집중되고 피해자들이 별도의 악성 앱을 설치하지 않았다는 공통점이 드러나면서 통신망 자체에 대한 해킹 가능성이 제기되었습니다. 조사 결과, 이는 국내에서는 처음으로 공식 확인된 '가짜 기지국(IMSI Catcher)'을 이용한 조직적 범죄로 밝혀졌습니다.

경찰은 차량에 불법 초소형 기지국 장비를 싣고 다니며 범행을 저지른 중국 국적의 용의자들을 검거했으며, 이들 배후에 중국에 거점을 둔 총책이 있는 것으로 보고 수사를 확대하고 있습니다. KT는 피해 사실을 인지하고도 초기 대응이 늦었다는 비판을 받았으며, 정부는 민관합동조사단을 꾸려 KT의 서버 해킹 정황 등 추가 피해 가능성까지 조사에 착수했습니다. 이번 사건으로 공식 확인된 피해자는 수백 명, 피해액은 1억 7천만 원을 넘어섰습니다.

3. 핵심 이슈 및 기술 분석 

3.1. 사건의 전개 / 기술의 원리

이번 사건은 치밀하게 계획된 중간자 공격의 전형을 보여줍니다. 공격의 흐름은 다음과 같습니다.

장비 설치 및 이동: 공격자들은 차량에 초소형 기지국(펨토셀) 장비를 설치하고 인구 밀집 지역인 아파트 단지 등을 돌아다녔습니다.

신호 하이재킹: 이 장비는 정상 KT 기지국보다 더 강한 신호를 송출합니다. 휴대폰은 본질적으로 더 강한 신호를 우선으로 접속하려는 특성이 있어, 주변에 있던 피해자들의 휴대폰은 자신도 모르게 이 '가짜 기지국'에 자동으로 연결됩니다.

통신 감청 및 정보 탈취: 일단 가짜 기지국에 연결되면, 해당 휴대폰과 실제 KT 통신망 사이에 오가는 모든 데이터(음성, 문자 등)는 공격자의 장비를 거치게 됩니다. 공격자들은 이 과정에서 피해자의 개인정보를 확보한 뒤, 소액결제를 시도하며 실시간으로 전송되는 SMS 인증번호를 중간에서 가로챘습니다.

결제 실행: 탈취한 인증번호를 즉시 입력하여 본인인증을 통과하고 결제를 완료했습니다. 이 모든 과정이 심야 시간에 순식간에 이루어져 피해자들이 알아채기 어려웠습니다.

3.2. 사용된 공격 기법 / 핵심 기술 (Attack Vector / Core Technology)

이번 공격의 핵심은 IMSI 캐처(IMSI-Catcher) 기술입니다. IMSI는 모든 휴대폰 유심에 부여된 고유한 국제 가입자 식별 번호입니다. IMSI 캐처는 바로 이 IMSI를 수집하여 특정 사용자를 추적하거나 통신을 감청하는 장비입니다.

• 펨토셀(Femtocell): 원래는 통신 음영지역 해소를 위해 사용되는 합법적인 초소형 기지국 장비입니다. 하지만 공격자들은 이를 불법적으로 개조하여 KT 망에 등록되지 않은 유령 기지국으로 악용했습니다.
• 중간자 공격 (MITM): 통신하는 두 주체(사용자-기지국) 사이에 몰래 끼어들어 양쪽이 주고받는 정보를 모두 엿보고 조작하는 해킹 기법입니다. 사용자는 정상적으로 통신하고 있다고 믿지만, 실제로는 모든 정보가 공격자에게 노출되는 것입니다.
• SMS 인증의 취약점: 이번 사건은 우리가 가장 보편적으로 사용하는 SMS 인증 방식이 통신 채널 자체가 장악당했을 때 얼마나 무력한지를 여실히 보여주었습니다. 메시지를 안전하게 전달해야 할 통로 자체가 해킹당했기 때문에, 인증번호는 암호로서의 기능을 완전히 상실했습니다.

4. 개인적 분석

휴대폰 안테나가 가득 떠 있으면 안전하다는 생각이 깨졌습니다. 지금까지의 해킹이 주로 사용자에게 악성 앱 설치를 유도하거나 피싱 링크를 클릭하게 만드는 사용자 부주의를 이용했다면 이 공격은 사용자가 아무런 행동을 하지 않아도 통신망에 접속했다는 것으로 피해자가 될 수 있음을 보여주었습니다.

특히 통신사의 미인가 기지국에 대한 탐지 및 인증 체계에 심각한 허점이 있었음이 드러났습니다. 사건 발생 후 열흘 가까이 스미싱으로 오판하며 늑장 대응을 한 KT의 위기관리 능력 또한 도마 위에 올랐습니다. 이는 결국 더 큰 피해를 막을 골든타임을 놓치는 결과로 이어졌습니다. 이제는 통신망 보안을 단순한 기업의 문제가 아닌, 사회 안전과 직결되는 핵심 인프라 보안으로 격상시켜야 할 때입니다.

5. 향후 전망 및 대응 방안

개인 차원

소액결제 차단/한도 축소: 사용하지 않는 소액결제 기능은 통신사 고객센터나 앱을 통해 원천 차단하거나, 한도를 최소한으로 낮춰두는 것이 가장 확실한 예방법입니다

인증 방식 다각화: SMS 인증에만 의존하기보다, ARS 안심인증 서비스를 신청하거나, 앱 기반의 간편인증, OTP 등 2차, 3차 인증 수단을 적극적으로 활용해야 합니다

 

통신사 및 정부 차원

통신망 관제 강화: 미등록/불법 기지국 접속을 실시간으로 탐지하고 차단하는 시스템을 고도화해야 합니다. 기지국 인증 절차를 강화하고, 통신 데이터의 암호화 구간을 확대하여 중간자 공격의 가능성을 원천적으로 줄여나가야 합니다.

본인인증 절차 강화: 정부는 이번 사건을 계기로 비밀번호나 생체 인증 등을 추가하는 2차 인증 도입을 추진하는 등, 휴대폰 번호만으로 쉽게 결제가 이루어지는 현재의 소액결제 시스템 전반을 재검토할 필요가 있습니다.

결론적으로, 이번 공격은 통신 인프라 자체를 겨냥한 물리적 해킹이 현실화되었음을 알리는 강력한 경고입니다. 개인의 주의만으로는 막을 수 없는 새로운 유형의 위협에 대비하기 위해, 이제는 개인과 기업, 정부 모두가 통신 보안에 대한 인식을 새롭게 하고 강력한 방어 체계를 구축해야 할 것입니다.

참고 

• 연합뉴스: https://www.yna.co.kr/view/AKR20250911058901017
• 조선일보: https://www.chosun.com/economy/tech_it/2025/09/11/P6IGLCLDPFFARKYDTBAPSIHFYA/