KT 소액결제 해킹 사건으로 본 펨토셀 유령 기지국의 위험

통신사 해킹, 개인정보는 언제 개인정보가 될 수 있는 건가요?

보이지 않는 위협, 유령기지국의 위험

지난 9월 KT 통신망 이용자들을 대상으로 한 대규모 무단 소액결제 해킹 사건이 발생하여 사회적으로 큰 파장을 일으켰습니다. 특히 이번 사건에서는 일반인에게 생소한 펨토셀(FEMTOCELL) 일명 초소형 기지국이 해킹 도구로 악용되었다는 점에서 주목받고 있습니다. 펨토셀은 원래 실내나 음영 지역의 통신 품질을 높이기 위해 사용하는 손바닥 크기의 소형 기지국 장치인데요 이번 사건에서는 이러한 펨토셀이 유령기지국(불법 가짜 기지국)의 형태로 이용되어 다수 피해자의 휴대폰이 속아 접속하도록 만들고 이를 통해 소액결제 인증 절차를 가로챈 정황이 드러났습니다.

목차

KT 해킹(FEMTOCELL)

펨토셀(Femtocell)이란?

펨토셀은 이동통신사의 초소형 기지국 장비를 의미합니다. 일반 기지국보다 훨씬 소형이며 반경 수십 미터 이내의 좁은 범위에 이동통신 신호를 제공합니다. 주로 가정이나 소규모 사무실처럼 신호가 약한 장소의 음영지역 해소 및 트래픽 분산 목적으로 설치됩니다. 예컨대 지하나 건물 내부에서 휴대전화 신호가 약할 때 통신사가 제공한 펨토셀을 인터넷망에 연결해 두면 그 주변에서 휴대폰이 강한 신호로 통화와 데이터를 사용할 수 있게 해주는 것입니다.

 

펨토셀은 단순한 중계기(repeater)와 달리 자체적으로 이동통신 신호를 생성하여 인터넷을 통해 통신사의 코어망(core network)에 직접 연결되는 것이 특징입니다. 즉, 펨토셀에 접속한 휴대전화의 통화나 데이터는 펨토셀 -> 가정용 인터넷망 -> 통신사 코어망으로 전달되어 처리됩니다. 이렇게 하면 통신사는 대형 기지국을 늘리지 않고도 실내 커버리지를 개선하고 메인 망의 부하를 줄일 수 있는 장점이 있습니다. 원래 통신품질 향상을 위한 편리한 장치인 펨토셀이지만 보안이 취약할 경우 승인되지 않은 장비가 통신망에 접속하여 악용될 소지가 있다는 점이 이번 사건으로 드러났습니다.

 

사건 개요, KT 유령 기지국 소액결제 해킹

2025년 8월 말부터 9월 초 사이 KT 통신망을 사용하는 일부 휴대폰 가입자들이 자신도 모르는 사이에 무단으로 소액결제가 이루어지는 피해가 발생했습니다. 예를 들어 모바일 상품권 구매나 선불 교통카드 충전 등의 소액결제가 본인 승인 없이 이뤄져 경찰에 신고된 것입니다. 첫 피해신고는 8월 27일경 접수되었으며 주로 서울 금천구, 영등포구, 경기 광명시 일대 등 특정지역에서 피해 사례가 집중됐습니다.

 

KT 내부 족사에 따르면 9월 11일까지 파악된 피해만 최소 278건에 약 1억 7천만 원의 금액이 본인 모르게 결제된 것으로 집계되었습니다. 이 사건은 오직 KT 망 이용자들에게서만 발생했으며 SKT나 LG U+ 등 다른 통신사 가입자 피해는 보고되지 않았습니다. KT는 9월 5일 새벽 자체 모니터링으로 이상 징후를 감지하고 해당 결제 트래픽을 차단했지만 초기에 이를 단순 스미싱 악성앱 감염으로 오인하여 사고 대응이 늦어졌습니다. 이후 9월 8일 네트워크 상에서 등록되지 않은 정체불명의 기지국 신호를 발견하고 나서야 비로소 해킹 정황을 인지 KISA(한국인터넷진흥원)에 사고를 공식 신고하게 되었습니다.

 

조사 결과 피해자들의 휴대폰이 한때 접속했던 특정 기지국 ID가 KT망에 등록된 적 없는 불법 기지국으로 확인되었습니다. 쉽게 말해 해커들이 합법적인 KT기지국인 척 위장한 유령 기지국을 운용하여 피해자 휴대폰을 자기 장비로 끌어들였던 것입니다. 해당 기지국 ID는 KT 네트워크 상에 존재하지 않는 번호였기에 의심을 샀고 KT는 이를 즉시 차단했습니다. 이러한 불법 초소형 기지국을 이용한 해킹 사건은 국내 최초로 기록되었으며 수법의 특이성과 치밀한 때문에 수사 당국과 보안 업계의 이목이 집중되었습니다.

 

펨토셀 해킹 수법, 어떻게 결제를 가로챘나?

그렇다면 해커들은 어떻게 펨토셀을 통해 남의 휴대폰 결제를 몰래 진행할 수 있었을까요? 현재까지 드러난 바를 종합했습니다.

- IMSI 탈취 - 가입자 식별정보 가로채기

펨토셀에 접속한 휴대전화는 통신망에 등록하기 위해 단말 고유식별번호를 기지국에 전송합니다. LTE망의 경우 단말 전원을 껐다 켜거나 할 때 IMSI(International Mobile Subscribar Identity, 국제이동가입자식별번호)를 보내면, 네트워크가 이를 확인하고 임시 id인 GUTI를 발급하여 통신을 진행합니다. IMSI는 유심(USIM)에 내장된 가입자 고유 번호로 이동통신사가 가입자를 인식하는 데  사용되는 중요한 개인정보입니다. 이번 사건에서 해커의 불법 기지국에 일단 휴대폰이 접속되면 IMSI 등의 가입자 정보가 해커 장비로 유출되는 상황이 발생했습니다. 실제로 약 1만 9천 명의 KT 고객이 한 때 이 유령 기지국 신호를 잡았고 이 중 5,561명은 IMSI가 유출되었을 가능성이 있다고 확인되었습니다. IMSI가 유출될 경우 해커는 그 정보를 이용해 통신 트래픽을 중간에서 가로채거나 사용자를 가장할 수 있기 때문에 매우 위험합니다.

 

한편 5G의 경우 보안을 강화하여 IMSI 대신 암호화된 식별자를 사용하기 때문에 이러한 공격에 비교적 안전하지만 이번 사고는 LTE망을 노렸기에 IMSI 노출이 이루어진 것으로 분석됩니다. IMSI를 탈취한 해커는 곧이어 해당 가입자 명의로 소액결제를 시도한 것으로 보입니다.

- 가짜 기지국을 통한 인증 가로채기

모바일 소액결제를 진행하려면 보통 본인확인 절차로 휴대폰 명의자의 이름, 생년월일, 주민등록번호 일부 등을 입력하고 ARS 전화 인증 또는 SMS 인증을 거쳐야 합니다. 일반적인 상황에서는 사용자의 휴대폰으로 통신사 인증번호가 문자로 오거나 ARS 전화가 와서 본인이 직접 이를 확인/승인해야 결제가 완료됩니다. 그런데 해커는 유령기지국에 연결된 피해자 폰의 통신을 통제함으로써 인증 요청 전화나 문자를 가로채고 대신 승인 절차를 진행한 것으로 추정됩니다. 즉, 통신사망 입장에선 해당 휴대폰이 정상적으로 ARS 인증을 완료한 것처럼 보이게 만들어 결제를 승인시켰다는 시나리오입니다.

 

아직 구체적으로 해커가 ARS 인증을 어떤 방식으로 우회 했는지 명확히 밝혀지지 않았으며 수사 중인 부분입니다. ARS 인증 시 요구되는 개인정보(예 : 주민번호 등)는 펨토셀만으로는 알아낼 수 없기 때문에 해커가 사전에 유출된 개인정보 DB를 입수하여 사용했거나 내부 협조자가 있었는지 등의 가능성이 제기되고 있습니다. KT측도 "미등록 장비가 코어망에 어떻게 접속했는지 또 소액결제가 어떤 메커니즘으로 이뤄졌는지 추가 조사를 필요하다"라고 밝혔습니다.

 

- 통신장비 악용 - KT 기지국 장비 도용 의혹

한편 이번 사건의 유령 기지국 장비는 고가에 KT에서 실제 사용되던 펨토셀 장비가 유출되어 악용된 정황이 제기되었습니다. KT는 기자 브리핑에서 "해당 불법 기지국이 기존에 KT망에 연결된 적이 있는 장비로 추정된다."라고 밝혔습니다. 현재 실물이 확보되지 않아 단정할 수 없지만 만약 과거에 쓰다 철거한 펨토셀 기기를 해커가 입수해 ID를 위조/도용했다면 통신망 인증을 쉽게 통과했을 가능성이 있습니다. 실제로 KT는 "관리 시스템에 없는 장비는 개통되지 않도록 조치하고 있는데 이번 발견된 장비는 아마 철거 과정에서 ID가 삭제된 장비가 도용된 것 같다"라고 설명했습니다.

 

다시 말해 해커가 통신사 관리망 바깥에 있는 펨토셀을 불법 개통시킨 것이 아니라 원래 KT망에 등록되었던 장비를 어떤 방식으로 다시 불법 활용했을 가능성이 높다는 것입니다. 이는 통신장비 관리의 허점을 노린 것으로 볼 수 있어 향후 유사 수법에 대한 대비의 필요성을 시사합니다.

 

드러난 피해와 보안상 문제점

이번 해킹을 통해 드러난 피해 규모와 보안 문제점은 다음과 같습니다.

* 무단 소액결제 피해

앞서 언급했듯이 확인된 무단 결제 건수만 수백 건에 달합니다. 피해자들은 자신이 결제한 적 없는 상품권 구매 내역등을 통신요금 청구서나 결제 알림을 통해 뒤늦게 인지한 경우가 많았습니다. 다행히 KT는 피해금액 전액을 고객에게 청구하지 않기로 결정하여 피해자 부담은 없도록 조치했습니다. 그러나 해커들은 이 과정에서 실제 금전적인 이득을 취했을 가능성이 높습니다. 예를 들어 구매된 상품권이나 충전금은 해커가 되팔았을 수 있습니다.

 

* 개인정보(IMSI) 유출

5천여 명의 고객 IMSI가 노출되었을 가능성이 확인됨에 따라 이는 잠재적인 2차 피해 위협으로 이어집니다. IMSI 등 유심 정보가 유출되면 향후 동일 수법으로 통신 도청이나 추가 사기가 발생할 수 있으므로 해당 고객들은 유심 교체 및 보호서비스가 권고되고 있습니다. KT는 IMSI 노출 가능성이 있는 고객 전원에게 개별 안내를 보내어 희망 시 무상 유심 교체와 USIM 보안서비스를 제공하고 있습니다.

 

* 통신 인프라 보안 허점 노출

통신사들은 공식 승인된 기지국 장비만 자사 망에 접속되도록 관리해 왔지만 이번 사건으로 그 관리 체계의 허점이 드러났습니다. 폐기되었거나 권한이 말소된 장비가 다시 이용될 수 있었던 점, 그리고 일정기간 동안 통신사 내부에서 이를 탐지하지 못한 점은 보안적 개선이 필요한 부분입니다. 또한 기지국 인증과 통신 프로토콜 측면에서의 취약점도 지적됩니다. 예를 들어 휴대폰이 기지국을 선택할 때 신호 세기가 강하면 일단 접속하도록 설계된 구조상 해커는 합법 기지국 신호를 교란하거나 더 강한 신호로 유인하여 쉽게 단말을 가로챌 수 있었습니다. 더구나 4G LTE에서는 IMSI가 평문으로 노출되는 과정이 있었는데 이는 이전부터 IMSI 캐처(Stingray)등으로 악용 가능성이 제기되어 온 부분입니다. 실제로 2013년 Black Hat 해커 컨퍼런스에서도 연구자들이 해킹된 펨토셀을 사용해 인근 휴대폰의 음성통화, 문자, 인터넷 트래픽을 모두 도청 및 기록해 보이는 시연을 한 바 있습니다. 이처럼 가짜 기지국 공격은 해외에서는 이미 알려진 기법이며 우리나라에서도 현실화된 첫 사례가 발생한 것입니다.

 

대응 조치 및 재발 방지 대책

사고 발생 후 정부와 KT를 비릇한 통신업계는 급히 대응 조치에 나섰습니다. 우선 과학기술정보통신부는 해당 사안을 중대한 통신망 침해사고로 보고 민, 관 합동조사단을 구성하였습니다. 또한 타 통신사들에게도 자사망에 유령 기지국이 존재하는지 긴급점검하도록 지시했고, SKT와 LG유플러스는 자체 점검 결과 이상이 없음을 보고했습니다. 고가기정통부는 만일 유사 피해가 발생할 경우 통신사가 피해금액을  고객에게 청구하지 않도록 사전에 조치하라고 요청하였고 모든 통신사가 이를 수용한 상태입니다.

 

KT는 고객 대상 사과와 함께 다양한 보호 대책을 발표했습니다. 우선 이상 패턴의 소액결제 시도를 실시간 감지하여 자동 차단하고 결제 시 추가 본인확인(예 : ARS 비밀번호, 생체인증)을 거치도록 2차 인증을 강화했다고 밝혔습니다. 또한 피해 고객에 대한 전액 보상은 물론, 원인규명과 재발 방지를 위한 투자와 보안 인력 확충에 힘쓰겠다고 발표했습니다. 피해 공지가 부족했다는 지적에 따라 마이KT 앱과 웹사이트에 공지사항을 게시하고 고객이 직접 본인의 IMSI 유출 여부를 조회할 수 있는 기능도 제공했습니다.

초소형 기지국 관리 강화도 중요한 과제로 떠올랐습니다. 정부는 통신 3사에 일시적으로 신규 펨토셀 장비의 망접속을 전면 제한하도록 지시하며 추가적인 의심기기 접속을 차단했습니다. 향후 소형 기지국 보안 기준을 재정립하고 불법 기지국의 망 접속 시도를 실시간 탐지, 차단하는 기술적 대책도 마련할 계획입니다. 더불어 개인정보보호위원회는 이번 사태를 계기로 개인정보 안전관리 강화 방안을 발표하여 보안투자를 소홀히 한 기업에 대한 제재 강화와 위반 기업에 대한 과징금으로 피해자 구제 등에 나서겠다고 밝혔습니다.

 

무엇보다 통신사들은 유사 사건 재발 방지를 위한 자사 관리 하에 운영되다 철거된 펨토셀 등 장비의 반출 및 폐기 절차를 엄격히 점검할 필요가 있습니다. 아울러 기지국 인증 시스템 상에서 사용 종료된 장치의 ID가 재사용되지 않도록 하고 비인가 기지국 탐지 시스템을 고도화해야 할 것입니다.

 

일반 이용자들을 위한 조언

이번 사건은 상당히 정교한 수법으로 진행되었기 때문에 일반 사용자가 개별적으로 예방하기는 어려운 측면이 있습니다. 그럼에도 불구하고 몇 가지 참고할만한 안전조치가 있습니다. 첫 번째는 휴대전화 소액결제를 평소 거의 사용하지 않는다면 통신사 고객센터나 앱을 통해 소액결제 한도를 0원으로 설정하거나 소액결제 차단/허용을 관리할 수 있도록 안내하고 있습니다. 실제로 KT는 이번 사고 이후 마이 KT앱에서 간편하게 소액결제 차단/허용을 관리할 수 있도록 안내하고 있습니다. 결제 수단을 원천봉인해 두면 설령 해커가 접근하더라도 결제를 시도할 수 없게 되므로 안심할 수 있습니다. 둘째,  휴대폰에 갑자기 뜨는 이상한 기지국 명칭(평소와 다른 번호나 이름)이 확인되거나 평소 쓰던 4G/5G 데이터가 불통되고 2G로 표시되는 등 평소와 다른 통신 상태를 발견하면 주의가 필요합니다. 일본 사례에서는 해커의 차량이 나타나면 주변 휴대폰이 갑자기 2G로 전환되고 통신 장애가 발생했다고 합니다. 이러한 징후는 유령 기지국 개입 가능성을 의심해 볼 수 있으므로 반복된다면 통신사에 문의하거나 해당지역을 벗어나는 편이 안전할 수 있습니다. 셋째 본인 명의와 관련된 각종 개인정보 유출사고 소식에 관심을 가지고 주요 정보(주민번호, 통신가입정보 등)가 유출되었다는 소식을 들으면 필요한 경우 명의 도용 방지서비스나 신용정보 모니터링을 신청해 두는 것이 도움이 됩니다. 해커는 여러 경로로 얻은 정보들을 조합하여 범죄에 악용하기 때문에 내 정보가 유출된 적이 있는지 수시로 확인하는 습관이 중요합니다.

 

마무리

이번 KT 펨토셀 유령기지국 해킹사건은 첨단 통신 인프라의 허점을 노린 신종 수법으로서 우리에게 두 가지 교훈을 주었습니다. 하나는 편의를 위한 기술도 보안이 담보되지 않으면 양날의 검이 될 수 있다는 점입니다. 집 안 신호 개선을 위해 보급된 펨토셀이 오히려 해커의 수중에서 통신망을 장악하는 도구가 될 수 있었듯이 모든 ICT 기술에는 보안 강화는 필수적입니다. 둘째는 통신사와 정부의 신속한 대응체계 구축입니다. 이번 사건을 통해 관계 기관들은 비로소 유령기지국 공격이라는 현실화된 위협에 눈뜨게 되었습니다. 다행히 추가 피해를 막기 위한 조치들이 빠르게 취해졌고 피해보상과 재발 방지책이 마련되고 있지만 사후 대응보다 사전 예방과 상시 모니터링 강화가 더욱 중요할 것입니다.

 

일반 사용자 입장에서는 눈에 보이지 않는 통신망 해킹이 막연하고 두려울 수 있습니다. 그러나 한편으로는 이러한 사건을 계기로 통신사들의 보안 의식 높아지고 시스템이 개선되는 효과도 기대할 수 있습니다. 우리는 개인차원에서 보안수칙을 잘 지키고 이상 징후에 주의를 기울이는 한편 더 큰 틀에서는 통신 인프라 전반의 보안 수준 재고를 꾸준히 요구해야겠습니다. 유령기지국의 침입을 막아낼 탄탄한 망 보안 체계 구축이 이루어질 때 비로소 안심하고 편리한 통신서비스를 누릴 수 있을 것입니다.