혹시 최근 KT를 사용하시는 분들 중에서 본인도 모르게 소액결제가 이뤄진 경험이 있으신가요? 지난달부터 수도권을 중심으로 발생한 이 사건은 한국 통신 역사상 초유의 ‘유령기지국’ 해킹으로 밝혀져 큰 충격을 주고 있습니다. 전문가들조차 “그간 논문에서만 다뤄진 수법”이라고 표현할 정도로 고도화된 이번 해킹 사건의 전모를 상세히 분석해드립니다.
유령기지국이란 무엇인가? 국내 첫 확인된 신종 해킹 수법
유령기지국(Ghost Base Station)은 해커들이 설치한 가짜 통신 기지국으로, 정상적인 이동통신사 기지국으로 위장하여 이용자의 개인정보를 탈취하는 장비입니다. 이번 KT 사건에서 사용된 것으로 추정되는 장비는 와이파이 공유기 정도 크기의 소형 기기로, 반경 10미터 내에서 통신 서비스를 제공할 수 있는 펨토셀(Femtocell) 장비를 불법 개조한 것으로 보입니다.
작동 원리: IMSI-캐처 기술의 악용
유령기지국의 핵심 기술은 ‘IMSI-캐처(IMSI-Catcher)’ 방식입니다. 가입자식별번호(IMSI)는 각 휴대폰이 통신망에 접속할 때 사용하는 고유 식별 코드인데, 해커들은 다음과 같은 과정으로 이를 탈취합니다.
- 가짜 기지국 설치: 특정 지역에 불법 초소형 기지국을 설치
- 자동 접속 유도: 해당 지역으로 들어온 휴대폰이 자동으로 가짜 기지국에 접속
- 정보 탈취: IMSI, IMEI, USIM 인증키 등 주요 정보 수집
- 복제폰 제작: 탈취한 정보로 복제폰을 만들어 소액결제 실행
염흥열 순천향대 정보보호학과 명예교수는 “가짜 기지국을 만드는 게 쉽지는 않아 그간 주로 논문에서만 다뤄진 해킹 방식”이라며 “만약 실제 이 방식으로 해커들이 고객 정보를 빼돌렸다면 복제폰을 만들어 소액결제를 시도했을 가능성이 높다”고 설명했습니다. 동아일보
피해 현황과 범위: 수도권 서남부 중심으로 확산
확인된 피해 규모
과기정통부와 KT에 따르면, 현재까지 확인된 피해 규모는 278건으로 총액 1억 7천만원에 달합니다. 피해자들은 주로 새벽 시간대에 본인도 모르게 모바일 상품권 구매 등의 소액결제가 이뤄졌다고 신고했습니다.
- 광명경찰서 관할: 3,800만원
- 금천경찰서 관할: 780만원
- 부천 소사경찰서: 411만원 (5건)
- 1인당 평균 피해액: 수십만원 수준
지역적 특성과 확산 패턴
주목할 점은 피해 발생 지역의 지리적 특성입니다. 경기 광명시, 서울 금천구, 경기 부천시는 모두 서로 경계를 마주하는 인접 지역으로, 이는 해커들이 이동 가능한 유령기지국을 활용했을 가능성을 시사합니다. 한겨레
특히 피해가 특정 통신사(KT) 가입자에게만 집중되었다는 점도 이번 해킹이 통신사별 기술적 취약점을 노린 정교한 공격이었음을 보여줍니다.
KT의 대응과 논란: 늑장 대응 지적
발견 과정과 신고 경위
KT는 피해자들의 통화 이력을 분석하는 과정에서 자사가 관리하지 않는 미상의 기지국 ID를 발견했습니다. 이는 누군가가 일시적으로 가상 기지국을 세워 개인정보를 빼돌렸을 가능성을 의미하는 결정적 단서였습니다.
KT는 9월 8일 오후 7시 16분 한국인터넷진흥원(KISA)에 침해사고를 정식 신고했으며, 과기정통부와 KISA는 같은 날 오후 10시 50분 KT를 방문해 상황 파악에 나섰습니다.
대응의 아쉬운 점들
하지만 KT의 초기 대응에 대해서는 여러 비판이 제기되고 있습니다.
- 늦은 공지: 최초 피해 제보(8월 27일)로부터 10일이 지난 9월 6일에야 공지사항 게시
- 제한적 안내: 문자 공지 대신 홈페이지 공지사항으로만 안내
- 인식 부족: 한 달간 해킹 상황을 제대로 파악하지 못했던 점
KT 측은 “소액결제 피해 고객에게는 금전 피해가 가지 않도록 사전 조치 등 만전을 기하고 있으며 결제 한도 하향 조정 등 고객 피해 최소화를 위해 최선의 노력을 다하고 있다”고 해명했습니다.
정부 대응: 민관합동조사단 구성
조사체계 구축
과기정통부는 최우혁 정보보호네트워크정책관을 단장으로 하는 민관합동조사단을 구성해 본격적인 조사에 착수했습니다. 조사단에는 이동통신 및 네트워크 전문가들이 포함되어 있으며, 조사에는 1~2개월이 소요될 것으로 예상됩니다.
배경훈 과기정통부 장관은 “해킹 사건이 계속 나오면서 조사를 진행 중으로, 다만 대응하지 않고 근본적으로 대책을 수립할 수 있도록 할 것”이라고 밝혔습니다.
예방 조치
류제명 과기정통부 제2차관은 “통신 3사는 만일의 사태에 대비하여 모두 신규 초소형 기지국의 통신망 접속을 전면 제한하고 있다”고 발표했습니다. 현재까지 KT에서 추가로 확인된 불법 기지국은 없으며, 다른 이동통신사들에서도 이상 상황은 발견되지 않았다고 밝혔습니다.
피해 예방법과 대응 방안
개인이 할 수 있는 예방 조치
- 소액결제 한도 설정: 통신사 고객센터나 앱을 통해 소액결제 한도를 최소화하거나 차단
- 정기적 이용 내역 확인: 매월 휴대폰 요금 고지서 및 소액결제 내역 꼼꼼히 확인
- 수상한 앱 설치 금지: 출처가 불분명한 앱이나 링크 클릭 자제
- 공공장소 와이파이 주의: 공공장소에서 보안이 취약한 와이파이 사용 시 주의
피해 발생 시 신고 방법
만약 유사한 피해를 입었다면 다음과 같은 경로로 신고할 수 있습니다.
- 긴급 신고: 국번없이 118번 (KISA 인터넷침해신고센터)
- 경찰 신고: 국번없이 112번
- 통신사 신고: 해당 통신사 고객센터
- 개인정보 침해신고: privacy.go.kr 또는 국번없이 182번
추가 확인이 필요한 사항들
현재 조사 중인 핵심 의문점들은 다음과 같습니다.
- 미등록 장비가 이통사 핵심망에 접속할 수 있었던 보안 취약점
- 소액결제에 필요한 추가 인증 정보를 어떻게 확보했는지
- 다른 이동통신사에도 유사한 취약점이 존재하는지
- 해커들의 신원과 범행 동기
앞으로의 전망과 시사점
통신 보안의 새로운 과제
이번 사건은 국내 이동통신 보안에 새로운 과제를 던져주었습니다. 기존의 네트워크 보안 체계로는 방어하기 어려운 물리적 해킹 수법이 현실화되면서, 통신사들은 기지국 인증 시스템의 전면적인 재검토가 필요한 상황입니다.
김용대 카이스트 전기전자공학부 교수는 “기술수준 관점에서는 해커들이 논문을 읽었거나 해킹 컨퍼런스에서 발표된 자료를 공부했을 것”이라며 “이론적으로만 알려진 공격이 실제 현실화된 것”이라고 분석했습니다. KBS 뉴스
5G 시대 보안 강화 필요성
특히 5G 네트워크가 확산되는 시점에서 발생한 이번 사건은 차세대 통신 기술의 보안 취약점에 대한 우려를 높이고 있습니다. 전문가들은 SUCI(Subscription Concealed Identifier)와 SBA(Service Based Architecture) 등 5G의 보안 강화 기능에도 불구하고, NSA(Non-Standalone) 폴백 등의 취약점이 여전히 존재한다고 지적합니다.
이용자 보호 체계 개선
무엇보다 이용자를 보호하기 위한 실질적인 대책 마련이 시급합니다. 통신사의 실시간 모니터링 체계 강화, 소액결제 인증 절차 개선, 그리고 피해 발생 시 신속한 구제 방안 등이 종합적으로 검토되어야 할 시점입니다.
면책조항: 이 글의 내용은 공개된 언론 보도와 공식 발표 자료를 바탕으로 작성되었으며, 현재 진행 중인 수사와 조사 결과에 따라 일부 내용이 변경될 수 있습니다. 개인의 피해 예방을 위한 정보 제공 목적으로 작성되었으므로, 구체적인 법적 조치나 기술적 대응 방안은 전문기관에 문의하시기 바랍니다.