※ 2025. 9. 18. SBS 경제탈곡기 방송 내용입니다.
'KT 소액결제 해킹' 도대체 왜 발생했나
Q. 펨토셀이란 기계가 되게 조그맣더라고요.
*펨토셀 : 통신이 잘 안 되는 장소(음영 지역)에서 고객의 휴대폰을 통신사의 네트워크에 붙여주는 '초소형 기지국'. 가정에서 사용하는 '와이파이 공유기'와 유사한 기능을 하는 장비. 커버 반경 10~50m
공유기 사이즈입니다.
Q. 원래 어디에 쓰이는 거예요? 집에 있는 와이파이 공유기와 비슷한 건가요?
한쪽 끝을 인터넷에 연결하면 집 안의 작은 기지국 역할을 하는 게 펨토셀이고요. 산간벽지의 군부대까지 기지국을 설치하기엔 너무 비싸니까 펨토셀 같은 장비를 꽂으면 장병들이 이동통신을 쓸 수 있게.
Q. '저희 집 인터넷이 잘 안 터져서 기가 아토 신청해서 설치했다' 이런 글들이 있더라고요. 그렇게 쉽게 구할 수 있는 기기인 거죠.
*기가 아토 : KT 인터넷 활용한 가정용 펨토셀 브랜드
15만 대, 20만 대라고 얘기하고 있으니까요. 좀 특이한 게 KT가 많아요. SKT는 한 1만 대, 유플러스는 거의 없다고 하는데 KT가 공공 쪽에 납품을 많이 하지 않았나, 군부대나 도서 산간이나.
"이건 '선수'의 짓이에요"...어떻게 추적해야 할까?
Q. 어떤 사람들이 했을까요? KT가 기자회견에서 '통신 분야를 잘 아는 것 같다'고 했는데.
제가 봤을 때는 '선수'예요. 아니면 '선수'한테 교육받은 사람이든지.
Q. 교육받아도 이렇게 못할 것 같은데요.
기술이 있고 과거에 이동통신 쪽 회사에서 일을 했다거나 할 수 있을 것 같아요.
Q. 이 공격자들을 어떻게 추적할 수 있을까요?
피해자들이 있었던 동선을 연결하고 CCTV를 보는 거예요. 자동차 번호판들을 모아서 교집합을 해보면 번호판이 나오고 신원이 (특정)되지 않을까. CCTV에 노출됐으면 얼굴도 확인할 수 있지 않을까. 들고 움직이다 보니까 결국은 범인과 펨토셀은 같이 있을 수밖에 없거든요. 한 번은 그 장소에 무조건 나타나야 한다. 그렇기 때문에 CCTV가 있는 곳은 못 나타날 거다. 아파트에 있는 펨토셀을 해킹하러 오면 아파트 CCTV 눈에 띌 수 있기 때문에 와서 해킹하지는 않았을 것 같다. 승합차에 싣고 돌아다니면서 했을 가능성이 높을 것 같다.
Q. 서울, 수도권에서 그렇게 돌아다니면서 하는 건 한국 경찰이 진짜 빨리 잡거든요.
우리나라 CCTV가 너무 많아요.
Q. 기술 수준은 굉장히 높은 공격자들인 것 같은데, 왜 쉽게 잡힐 수밖에 없는 방식을 선택했을까.
범죄 경험이 없는 사람이 아닐까요? 통신에 대한 이해는 높지만 범죄에 대한 경험은 없을 수도. 아니면 돌아다니는 것은 막내들을 시켰을 수도.
Q. 보이스피싱 수거책처럼 그렇게 시켰을 수도 있고.
유령 기지국? 펨토셀! 결정적인 차이는?
가짜 기지국은 전 세계적으로 굉장히 많이 쓰이고 있어요. 일본이나 필리핀에서 스팸 문자를 보내는 게 잡혔다. 이것도 우리 케이스라고 주장을 하시는 분들이 있는데 그게 아니라는 설명을 드리고 싶은데요.
주위에 있는 이동통신 신호 중 가장 센 곳에 휴대폰이 붙어요. 붙고 나면 인증을 시도해요. 그래서 가짜 기지국이 기지국보다 더 센 신호로 더 가까이 있으면 휴대폰은 가짜 기지국에 일단 붙고, 가짜 기지국이 휴대폰에게 식별번호를 물어보면 휴대폰이 대답해요. 그것을 이미지 캐칭이라고 해요. 이미지 캐처라는 장비들은 그렇게 이미지를 모으는 애들이고요.
이미지를 모은 다음에 '원래 LTE를 쓰고 있는데 속도 2G로 내려가' 기지국이 시키면 휴대폰들이 말을 잘 들어요. 근데 '2G로 내려가' 이런 명령어들이 인증이 하나도 없어요. 그러면 단말기들은 2G로 내려가요.
LTE에서 문자를 보낼 때 인증이 필요한데 2G에서는 문자를 보낼 때 인증이 필요 없어요. 그래서 주위에 있는 단말기들한테 스팸 문자를 뿌려요. 보내는 건 되는데 통신사 쪽으로 보내는 걸 도청할 수 없어요. 이게 SMS 블래스터라고 SMS 엄청 뿌리는 놈들이고 지금 전 세계 경찰이 이것 때문에 난리인데, 이 사건과는 직접적인 관계가 있을 수가 없죠. 문자를 읽을 수가 없으니까.
Q. 인증 문자를 받아서 그 번호를 입력해야 소액 결제가 되는 건데, 유령 기지국 이미지 캐처로는 스팸 메시지 발송은 가능한데 내가 받아야 할 인증 문자를 보는 건 불가능하다.
물론 그 인증 문자 안에 악성 앱을 깔게 하는 내용이 있을 수도 있어요. 그래서 사람들이 클릭해 주면 휴대폰 안에 악성 앱이 깔리고 개인정보 탈취하는 게 있을 순 있지만 이번 케이스에는 스미싱이 없었으니까 관련이 없는 케이스인 거죠.
왜 KT가 표적이 됐나...'소액결제 미스터리' 유력 시나리오는?
Q. 어디서부터 해킹이 돼서 소액 결제까지 이어진 것인가. 가장 유력한 시나리오 먼저 설명해 주신다면, 소액 결제를 할 때 우리가 필요로 하는 정보가 어떤 것들이 있죠?
전화번호와 이름 같은 게 필요하고요. 문자 인증이나 ARS 인증 정도만 거치면 소액 결제가 되는 걸로 알고 있고요.
Q. 펨토셀은 문자나 통화 내용, 음성 녹음 외에 이름과 전화번호는 없는 거 아닌가요?
문자 패킷 안에 전화번호가 들어 있어요. 그래서 만약 펨토셀에서 문자를 볼 수 있었다면 문자 패킷에서 전화번호를 추출할 수 있고, 문자 내용 중에 받는 사람 이름이 들어 있을 수 있겠죠.
문자 구현 방식을 조사해 보니 SK텔레콤은 'SMS over NAS'라고 코어망부터 휴대폰까지 암호화되는 기술을 쓰는데 KT는 'SMS over IMS'라는 기술을 쓴다고 하고, 문자나 통화가 유출이 됐으니 'SMS over IMS'에 뭔가 문제가 있지 않나라는 생각을 하게 됐어요.
*SMS over IMS : 인터넷 IP 기반 플랫폼 통해 문자 송수신
그런데 삼성에 계신 분들이나 여러 분들이 전화를 주셔서 "'SMS over IMS'도 휴대폰까지 암호화돼 있다. 펨토셀이라는 게 기지국이랑 비슷한 건데, 기지국에서 패킷을 열어보더라도 암호화된 것밖에 안 보이니 문자를 못 달 거다."
그래서 더 깊이 분석하면서 현재는 두 가지 정도의 시나리오가 가능한 것 같아요.
① 구형 펨토셀, 'KT 방식' 암호화 지원 안 될 가능성
펨토셀도 일종의 기지국이기 때문에 구형 기지국, 그러니까 'SMS over IMS', 'SMS over NAS' 들이 개발된 게 14년, 15년 되기 때문에 그전 펨토셀이라면 어쩌면 지원을 안 할 수가 있다. 그래서 구형 펨토셀이라면 'SMS over IMS'의 암호화 버전을 지원을 못할 수도 있다.
② 피해자들 휴대폰, 'KT 방식' 암호화 지원 안 된 경우일 수도
어쨌든 휴대폰에서 암호화가 풀리니, 만약 암호화를 지원하지 못하는 휴대폰이라면 기종별 특이점 같은 게 있지 않을까. 이런 것들은 실제로 피해자들에 대한 자세한 조사가 필요하다고 생각하고요.
근데 만약 소액 결제 피해자가 다 신형 단말기를 쓰고 있었다면 오히려 구형 펨토셀이나 'SMS over IMS'를 구현하기 힘들게 만드는 어떤 요소가 있지 않나. 그래서 암호화되지 않은 평문이 노출된 케이스가 있을 수밖에 없다. 지금으로서는 그렇게 생각하고 있습니다.
새벽 시간 집중된 해킹, '개인정보' 어떻게 빼냈을까?
Q. 통 신사 이용 금액 안내를 새벽에 보내지 않잖아요. 해킹했던 시간대에 이름까지 알아냈을 가능성은 희박했을 것 같긴 한데.
이런 시나리오도 생각할 수 있어요. 기존에 개인정보 유출된 것들이 꽤 많으니까 이름과 번호에 해당하는 데이터베이스가 유출된 게 있다면 해커들이 사서 바인딩 정도는 할 수 있지 않았을까.
Q. 소액 결제를 위해 필요한 개인 정보를 별도로 확보하고 펨토셀을 해킹해서 인증 문자를 탈취한 거다. 그래서 소액 결제가 결국 가능하게 했다.
네, 현재로서는 제일 가능한 시나리오일 것 같아요. KT 발표를 보면 펨토셀 이용됐다고, 여러 군데를 다니면서 한 거예요. 일종의 움직이는 도청 장비 같은 게 될 수가 있는 것.
'KT 해커', 왜 하필 광명·금천 노렸나?
Q. 광명시·금천구 지역에서 왜 소액 결제 피해자들이 많이 나왔을까요?
펨토셀을, 배터리와 에그를 합치면 움직이는 기지국이 되는 거잖아요. 범인들이 이거를 타고 그 동네를 하필이면 다닌 거죠. 특별한 이유는 없어요. 그 기지국이 그 동네에 있었을 뿐일 거죠.
Q. 이동기지국 가지고 다니면서 펨토셀로 전화번호를 탈취하면, 그 번호에 대응되는 이름을 자신들이 가진 데이터베이스에 검색하겠죠. 더 멀리 사는 분인데 그 지역으로 출퇴근하던 와중에 해킹이 된 것 같다. 그런 분들도 공격자들 데이터베이스에 개인 정보가 우연히 있었던 걸까요?
그럴 것 같아요.
'소액결제 해킹' 막을 수 있을까?..."기존 펨토셀 감시가 관건입니다"
Q. 앞으로 유사 사례가 재발될 수 있을 것인가. KT가 일단 새로운 펨토셀이 붙는 것을 막았지만 지금 공격자들이 갖고 다닌 걸로 추정되는 펨토셀은 새로운 장비일 거 아니에요? KT 네트워크망 입장에서는.
아니죠. 원래 사용자들이 사용하던 KT 에그를 구해서 해킹하고, 거기에 악성 코드를 깔아서 문자를 볼 수 있게 하고, 거기에 에그를 붙여서 돌아다니면, 이제 얘는 새로운 IP 주소를 가지고 붙겠죠. 그러면 KT 입장에서는 '우리 펨토셀인데 IP 주소가 바뀌었네?' 정도만 파악하게 되죠.
근데 KT가 그런 얘기도 했었거든요. '완전히 처음 본 기지국 ID였다.' 모든 기지국은 ID가 있어요. 이 사고가 생기기 전까지, KT가 막기 전까지는 집에 인터넷 주소가 바뀌어도 펨토셀은 여전히 붙을 수 있었던 거죠. 근데 지금은 새로 붙는 거를 막은 거고, 해킹된 신규 펨토셀들이 더 이상 망에 못 붙게 된 거죠. 즉 KT가 펨토셀의 인터넷 주소 바뀌는 걸 막아서 해킹된 펨토셀을 차단한 거예요.
피해자들이 거쳐갔던 신호들을 분석해 보니까 특정 펨토셀이라는 공통점이 보였던 거죠. 얘네들은 블랙리스트 해버리고, 새로운 펨토셀이 새로운 IP에 붙는 거는 막았으니 새로운 범죄는 일단은 더 이상 안 생기고 있는 거죠.
요즘에는 대부분 신호 증폭기를 깔아요. 그 안에 기지국 기능이 없어요. 외부에 안테나를 두고 신호를 유선으로 받아서 새로 뿌려주는 역할을 하는 게 증폭기이고, 펨토셀은 그 자체가 기지국인 거죠. 그러니까 증폭기를 까는 게 보안 측면에서는 훨씬 좋은 거죠.
"오히려 '휴대폰 복제 가능성' 배제되는 이유는요..."
처음에는 휴대폰 복제 가능성을 생각했었죠. SK텔레콤 같이 통신사 HS서버까지 해킹돼서 IMEI 정보가 나가서 휴대폰이 복제돼서 망에 붙었을 경우. 그런데 특정 사용자 같은 경우는 문자는 못 받고 휴대폰을 받는 사태가 있었는데 복제가 되면 휴대폰 통화도 안 되거든요. 그러면 복제는 아닌 것 같다.
(남은 이야기는 스프에서)
동영상 기사
동영상 기사
동영상 기사
