KT 소액결제 사고 분석, 유령 기지국이란?

읽기전에..

- 아직 오피셜로 해킹 조사 결과는 공개되지 않았으며 2025.09.10 09:00 현재 공개된 "유령기지국(초소형 불법 기지국)"에 가능성을 두어 공격 루트에 대에 "추측" 작성함

 

https://m.korea.kr/briefing/actuallyView.do?newsId=148948938#actually

타임라인

 

날짜/시간	주요 사건 내용	비고
8월 6일	서울 영등포에서 최초 피해 신고 접수. 49만 5천 원 결제 후 즉시 취소되어 피해액은 발생하지 않음. 경찰은 용의자 특정에 실패하여 사건 종결.	최초일자인지 연관성 밝혀지지 않음
8월 27일	경기 광명시에서 소액결제 피해가 처음으로 신고됨. 피해는 새벽 시간대에 집중됨.
9월 5일 새벽	KT가 새벽 시간대에 다수의 비정상적인 소액결제 시도를 감지하고 자체적으로 차단 조치를 시작함.	FDS 강화이후  KT는 공식사이트에 09/05 이후 피해사실 없다고 공지함
9월 8일 22:50	과기정통부가 침해사고 신고를 접수하고, KT에 현장 방문을 진행함.	침해사고 접수
9월 9일 01:00	KT가 과기정통부에 불법 초소형 기지국의 통신망 접속을 피해 원인 중 하나로 언급함. 과기정통부가 KT에 즉각적인 대책을 요구함.	“불법 초소형 기지국” KT 자체 조사 중 KT 장비가 아닌 ID의 통신이 발견됨 (인증 미비 가능성)
9월 9일 09:00	KT가 과기정통부의 요구에 따라 신규 초소형 기지국의 통신망 접속을 전면 제한함. 이후 추가적인 피해는 확인되지 않았다고 발표함.	초소형 기지국 장비 제한(어떤식으로 제한하였는지는 밝혀지지 않음)
9월 9일 이후	KT가 피해 구제 및 전담 고객센터를 운영하고, 과기정통부는 타 통신사에도 관련 내용을 공유하며 조사를 확대함.	KT, 과기정통부, 타 통신사

1. 악성 기지국(유령기지국)이란 무엇인가?

로그 베이스 스테이션(RBS)은 불법 기지국을 통칭하는 가장 넓은 개념이다. 통신사의 허가를 받지 않고 설치되어 진짜 기지국을 모방하는 모든 장비를 가리킵니다. 그 목적은 전파 교란, 불법 스팸 발송, 혹은 해킹 등 다양합니다. 따라서 IMSI-캐처와 불법 펨토셀은 모두 이 로그 베이스 스테이션 범주에 속합니다.

지하철이나 지하주차장 등에서 볼 수 있는 펨토셀 기기

IMSI-캐처(Catcher)라고 불리는 불법 장비입니다. 이 장비는 다음과 같은 역할을 수행합니다.

• 가짜 신호 송출: 실제 기지국을 모방하여 더 강력한 신호를 내보내 휴대전화가 자신에게 자동으로 연결되도록 유인합니다.

기지국 식별 코드 MCC (Mobile Country Code): 국가 코드 (예: 한국은 '450') MNC (Mobile Network Code): 통신사 코드 (예: KT는 '08') LAC (Location Area Code): 지역 코드 CID (Cell ID): 특정 기지국을 식별하는 고유 코드 (기사에서 kt관계자는 사용하지 않는 id가 찍혀서 불법기지국(유령기지국)을 의심)

 

1. 코드 위장: 공격자는 '유령 기지국' 장비에 KT의 MNC인 '08'을 설정하여 방송합니다.
2. 신호 세기 조작: 이 장비는 진짜 기지국보다 더 강력한 신호를 내보냅니다.
3. 자동 연결: 휴대전화는 'MNC 08'이라는 올바른 통신사 코드를 가진 가장 강력한 신호를 감지하고, 진짜 기지국이 아닌 '유령 기지국'에 자동으로 연결됩니다.

 

http://enea.com/insights/adaptive-mobile-imsi-catchers/

 

imsi-catcher란?

• 액티브(Active) IMSI-캐처: '가짜 기지국'이라고도 불리며, 주변 단말기를 자신에게 강제로 연결시킵니다. 통신 신호를 중간에서 가로채고, 2G로 다운그레이드시키는 등 능동적인 공격을 수행합니다. 탐지는 어렵지만, 라디오 신호를 내뿜기 때문에 완전히 불가능하지는 않습니다.
• 패시브(Passive) IMSI-캐처: 라디오 신호를 방출하지 않고, 단순히 주변의 진짜 기지국과 휴대전화 간의 통신을 수동적으로 엿듣기만 합니다. 이 방식은 단말기를 제어할 수 없지만, 탐지가 사실상 불가능하다는 큰 장점이 있습니다.

 

• 통신 신호 가로채기: 휴대전화와 진짜 기지국 사이의 통신 경로에 끼어들어, ARS 전화나 SMS와 같은 신호를 중간에서 가로챕니다. 이는 단순히 엿보는 것을 넘어, 목적지에 도달하지 못하게 막는 능동적인 중간자 공격입니다.
• IMSI를 전화번호로 바꾸는 방법 (IMSI 프로파일러)
  • 기술적 과정: IMSI를 획득한 공격자는 SS7 통신망의 취약점을 이용해 통신사의 코어 네트워크로 MAP_RESTORE_DATA와 같은 특수한 명령어를 보냅니다. 이 명령은 통신사에게 "이 IMSI의 상세 정보(전화번호, 통화 설정 등)를 보내달라"고 요청하는 것입니다. 통신사는 이 요청이 적법한 것처럼 보이면 전화번호를 제공합니다.
  • KT 사건과의 연관성: 공격자는 '유령 기지국'으로 IMSI를 얻고, 이 기술을 이용해 개인정보 데이터베이스와 교차 검증하여 최종 타겟 명단을 완성했을 가능성이 높습니다.

구분	펨토셀 (Femtocell)	IMSI-캐처 (IMSI-Catcher)
정의	통신사가 제공하는 합법적인 소형 기지국	IMSI 탈취를 목적으로 제작된 불법 장비
공격 비용	낮음 (기기 자체는 저렴, 해킹 도구 필요)	다양 (80만원대부터 수억원대까지)
공격 난이도	높음 (합법 장비의 보안을 뚫어야 함)	높음 (통신 프로토콜에 대한 깊은 지식 필요)
공격 방식	소프트웨어 취약점 해킹을 통해 장비의 권한 탈취 후 악용	강력한 신호 송출을 통해 단말기 유인 및 통신 가로채기
KT 사건 연관성	공격자가 악용했을 가능성이 있는 합법 장비	공격에 사용된 장비의 핵심 기능
소속	합법 장비 (단, 불법적 사용 시 로그 베이스 스테이션이 됨)	로그 베이스 스테이션의 일종

2. 왜 KT만 공격에 한정되었는가?

(1) 불법 기지국 장비의 호환성
'유령 기지국'(IMSI-캐처)은 범용적인 장비가 아님. 특정 통신사의 네트워크를 모방하고 그 약점을 공략하도록 맞춤형으로 제작되거나 설정되는 경우가 많음

• 하드웨어 및 소프트웨어의 차이: KT, SKT, LG U+는 각각 다른 제조사의 기지국 장비를 사용하고, 네트워크 운영 소프트웨어도 다릅니다. 이 때문에 한 통신사의 취약점을 파고든 장비가 다른 통신사에서는 제대로 작동하지 않을 수 있습니다.
• 프로토콜 구현의 차이: 통신 프로토콜(SS7, Diameter)은 국제 표준이지만, 각 통신사의 실제 구현 방식이나 버그에 차이가 있습니다. 공격자는 KT의 특정 구현 방식에서 발견한 허점을 이용하도록 장비를 최적화했을 가능성이 높습니다
• 공격자는 3사 통신사의 불법기지국 장비를 모두 구매했지만 kt 만 프로토콜 상, 구조상 취약점이 동작해 발생했을수도..

(2) 취약점 존재
(3) 공격자가 확보한 데이터가 KT 한정된 데이터였을 가능성

3. 공격 시나리오 (추측)

1. 사전 준비 단계:  공격자는 정보를 어떻게 획득했는가?

공격자는 결제에 필요한 이름, 휴대폰 번호, 주민등록번호 앞 7자리 등의 정보를 얻기 위해 다음과 같은 방법들을 사용했을 수 있습니다.

• 가설 1: 데이터베이스의 정밀 필터링 공격자는 다크웹에서 구매한 대규모 개인정보 데이터베이스에 이미 지역 정보와 통신사 정보가 포함되어 있었을 가능성이 있습니다. 이들은 이 데이터를 기반으로 특정 아파트 부근에 사는 KT 고객 명단을 정밀하게 추출하고 공격 대상으로 삼았을 것입니다.
• 가설 2: 본인인증 서비스를 이용한 정합성 검증 공격자는 수십만 건의 개인정보 데이터를 확보한 후, PG사의 본인확인 서비스로 이를 무작위로 대입하여 응답을 분석했을 수 있습니다. 만약 "인증번호를 발송했습니다"라는 응답을 받으면, 해당 정보가 유효한 것으로 판단하고 최종 공격 명단에 포함시켰을 것입니다.
• 가설 3: (공격 난이도 up) IMSI-캐처와 통신망 취약점의 결합 공격자는 먼저 '유령 기지국'(IMSI-캐처)을 특정 아파트에 설치하여 주변 휴대폰들의 IMSI를 획득했습니다. 이후, SS7/Diameter와 같은 통신망 프로토콜의 취약점을 이용해 이 IMSI를 실제 전화번호로 변환. 마지막으로 이 전화번호를 기존에 확보한 개인정보 데이터베이스와 교차 검증하여 결제에 필요한 모든 정보를 완성했을 것

2. 공격 실행 단계: '유령 기지국'을 이용한 인증 우회

위의 어떤 가설을 통해 정보를 획득했든, 공격의 실행 단계는 동일하게 진행되었을 것으로 추정됩니다.

• SMS/ARS 인증 우회: 공격자는 PASS 앱의 복잡한 USIM 검증을 건너뛰기 위해, 다오기프트와 같이 SMS나 ARS 인증만으로 결제가 가능한 상품권 판매 사이트를 이용했을 것입니다.
• '유령 기지국'의 역할: 피해자가 잠든 새벽 시간대, '유령 기지국'이 피해자에게 가야 할 ARS/SMS 인증 신호를 중간에서 가로채고 공격자에게 전달했습니다.
• 결제 성공: 공격자는 가로챈 인증 신호를 이용해 원격에서 결제를 완료했습니다. 이로 인해 피해자는 아무런 알림을 받지 못했지만, PASS 앱에는 **'문자본인확인'**이라는 인증 기록이 남게 되었습니다.

유심정보 없이 해킹 가능?

뉴스나 기사에선 usim검증을 하는 패스“앱” 인증을 건너 뛰었다고 하지만
인터뷰를 자세히 살펴보면 앱” 인증이 아닌 문자 인증이 이력에 남아있던걸로 보인다

https://news.jtbc.co.kr/article/NB12262142 기사 발췌

 

PASS앱 인증이력 예시 (SMS 인증 이력 포함)

이는 단순 sms 인증, ARS 인증으로 유심 검증을 하지 않음 - 복제폰, 유심복제, 심스와핑 등 추가 공격이 필요하지 않음