[통신망은 무방비]②KT 소액결제 사태 ‘5문5답’

구독신청 기사제보 입찰정보 판매도서

대한경제 i 신문초판

회원가입

로그인

11/02/2020

월요일

- 건설산업
- 산업
- 부동산
  경제
  - 경제정책
  - 금융
  - 기업
  - 증권/IB
  - 종목뉴스
  - 공시
- 정치
  사회
  - 사회일반
  - 법조
  전국
  - 수도권
  - 지방
- 오피니언
- 기획연재
  해외뉴스
- 피플
  - 인터뷰
  - 게시판
  - 인사
  - 결혼
  - 부음
  레저/문화

[통신망은 무방비]②KT 소액결제 사태 ‘5문5답’

기사입력 2025-09-16 05:20:23 폰트크기 변경

불법 펨토셀 해킹 원리, 피해 규모는

그래픽:대한경제

△‘펨토셀(Femtocell)’이란 뭐지?

‘펨토셀’은 가정이나 사무실 같은 실내에서 이동통신 신호가 약할 때 품질을 강화하기 위해 설치하는 아주 작은 소형 이동통신 기지국이다. 일반 기지국이 수백에서 수천명을 커버하는 반면, 펨토셀은 수십명 규모의 좁은 범위(수 미터에서 수십 미터)에서 신호를 전달한다. 원리는 유선 인터넷망(광랜, 케이블 등)을 통해 이동통신사의 코어 네트워크에 연결하는 방식이며, 주로 건물 내부나 지하 등 신호가 약한 공간에서 통화 품질과 데이터 속도를 높이기 위해 사용된다.

문제가 되는 건, 펨토셀이 통신사 인증을 거쳐야 하는 장비인데도, 불법 개조되거나 인증 없이 설치되면 그 통신망을 통해 통화ㆍ문자ㆍ데이터ㆍ결제 트래픽이 외부로 유출될 수 있다는 점이다. 이번 KT 사례에서 말하는 ‘불법 펨토셀’이란 바로 이런 승인받지 않은 소형 기지국을 뜻한다. 통신사 인증을 거치지 않은 불법 개조 펨토셀이 설치되면, 해당 통신망을 통해 통화, 문자, 데이터, 결제 트래픽 등이 외부로 유출될 위험이 있다.

△KT도 SK텔레콤도 유심이 털렸는데 차이점은 뭔가.

SK텔레콤과 KT의 해킹 사건은 공통적으로 ‘유심 관련 정보’가 노출됐지만, 양상과 파급력에서 뚜렷한 차이가 있다. SK텔레콤은 코어망의 HSS 서버가 직접 뚫려 가입자 인증키ㆍIMEIㆍIMSI 등 핵심 유심 정보가 대규모로 유출된 전형적인 내부망 데이터 해킹형 사건이다. 이 때문에 약 2300만명 전 가입자의 인증정보가 통째로 털려 금융ㆍ공공 인증 서비스까지 파급됐다.

반면 KT는 불법 소형 기지국(펨토셀)을 이용한 물리적 중간자 공격이 핵심이다. KT의 SMS 구현방식에는 SK텔레콤과 달리 종단 암호화가 적용되지 않아, 해킹된 펨토셀에서 암호화되지 않은 평문을 가로채 소액결제용 OTP를 탈취하는 식의 국지적ㆍ타깃형 피해가 발생했다. SK텔레콤의 경우에는 현재 펨토셀을 7000대 정도 운영중으로 암호화해서 관리중이다. 경쟁사들이 가입자들이 이런 장비를 거치지 않고 바로 기존 기지국ㆍ중계기망을 이용하도록 하고 있는데 반해 KT는 펨토셀을 16만대 정도 운영해 왔다.

△IMSI(가입자식별번호)는 펨토셀에서 어떻게 유출될 수 있나.

휴대폰에서 펨토셀로 전달되는 통화ㆍ문자 신호는 암호화돼 있지만, 펨토셀이 기지국 역할을 하면서 내부에서 이를 복호화한다. 이때 해커가 장비를 해킹해 정상 기지국처럼 위장한 불법 펨토셀을 설치하면, 근처 휴대폰들이 자동으로 연결돼 IMSI(가입자식별번호) 등 민감한 인증 정보를 노출하게 된다. 펌웨어 조작이나 중고 장비 확보만으로도 이런 위장 기지국을 구현할 수 있어 위험성이 크다.

특히 펨토셀을 경유하는 신호는 평문 상태로 처리되므로 해커는 IMSI뿐 아니라 결제 인증번호 등 다양한 통신 내용을 가로챌 수 있고, 탈취한 정보는 다른 개인정보와 결합해 범죄에 악용될 수 있다. 최근에는 USRP 같은 소형 장비 가격이 낮아져 가짜 기지국 구현이 더 쉬워지면서, 특정 지역의 펨토셀이 설치된 반경 내 모든 가입자가 잠재적 표적이 될 수 있다.

△다크웹에서 확보한 개인정보를 펨토셀에서 빼낸 IMSI와 결합했을 가능성은.

충분히 가능하다. 소액결제 진행을 위한 인증 과정에서 회선 가입자 성명, 생년월일 등의 개인정보가 필요하기 때문에, 불법 초소형 기지국 외 개인정보 유출 등 추가 원인이 있을 가능성이 제기되고 있다. IMSI만으로는 소액결제가 불가능하므로, 해커들이 기존에 유출된 개인정보 데이터베이스와 매칭했을 것으로 추정된다.

휴대폰과 기지국(펨토셀까지의 통화와 문자 신호)은 암호화되어 전송된다. 그러나 펨토셀은 기지국 역할을 하면서 이 암호를 풀어야 하기에, 복호화 과정이 이뤄진다. 이 시점에서 해커가 펨토셀 장비를 장악하면, 신호를 가로채 IMSI(가입자 식별번호)를 비롯해 문자, 통화내역, 인증번호 등의 개인정보를 유출할 수 있다. 즉, 단순히 펨토셀에서 IMSI 탈취만으로는 소액결제가 불가능하고, 별도의 개인정보가 추가로 유출되어야 비로소 해킹 피해가 현실화된다.

△등록되지 않은 불법 펨토셀이 어떻게 KT 핵심망에 접속할 수 있었을까.

인가 받은 장비가 아닌데 코어망에 접속했다는 것은 통신망 운영에 취약점이 있다는 것이다. 망 운영할 때 하청업체를 많이 쓰게 되는데 일반인들이 알기 어려운 내용이어서 내부자나 협력사 관련된 사람이 주도했을 가능성도 있다. 관리가 되고 있지 않은 펨토셀이라면 공격자가 뜯어본 뒤 내부 펌웨어나 장비 초기화를 시도할 수 있다. 여기서 중요 키값들을 얻으면 통신사 시스템을 속일 수 있는 가짜 기지국을 구현하는 게 가능하다.

관리되지 않는 불법 펨토셀은 해커가 장비를 분해ㆍ분석해 내부 펌웨어를 조작하거나 초기화를 거쳐 핵심 키값(인증키)을 탈취할 수 있다. 이렇게 확보한 키값으로 통신사 시스템을 속이는 가짜 기지국 구축이 가능해지며, 이를 통해 코어망 접속과 정보 탈취가 이뤄질 수 있다.

산업부

심화영 기자

dorothy@dnews.co.kr

심화영 기자의 다른기사 보기

▶ 구글 플레이스토어에서 '대한경제i' 앱을 다운받으시면
- 종이신문을 스마트폰과 PC로보실 수 있습니다.
- 명품 컨텐츠가 '내손안에' 대한경제i

법률라운지

사회

제호 : 대한경제 / 인터넷신문등록번호 : 서울 아53255 / 등록일자 : 2020년 08월 25일 / 발행인 : 유일동 / 편집인 : 유일동 / 청소년 보호책임자: 장세갑
발행소 : 서울시 강남구 언주로 711 건설회관 12층 / 발행일자 : 1964년 3월 2일 / 대표번호 02-515-7321
대한경제신문의 모든 콘텐츠(기사)는 저작권법의 보호를 받는 바, 무단전재, 복사, 배포 등을 금합니다.