(서울=뉴스1) 윤주영 기자 = 최근 경기도 광명·부천시, 서울 영등포·금천구 등을 중심으로 피해자가 나온 KT(030200) 소액결제 해킹 사태에선 '가짜 기지국'이 사용됐다.
구체적으로 공격자는 관리가 되지 않고 있는 '초소형 기지국'(펨토셀)을 탈취, 이후 이를 모사한 가짜 기지국을 만들었을 거로 추정된다. 공격자는 가짜 기지국 인근에 머문 이용자의 통신을 중간에서 가로채 조작할 수 있다. 원치 않는 소액결제도 가능하단 의미다.
10일 과학기술정보통신부에 따르면 KT는 불법 초소형 기지국이 자사 통신망에 접속된 것을 사건의 원인으로 보고 있다. 문제의 불법 기지국은 KT가 접속을 끊었다.
보안업계에선 카페나 공공장소 등에 설치된 펨토셀이 탈취되면서 공격이 발생한 거로 분석한다.
펨토셀은 건물 내 LTE 통신 음영지역을 없애거나 트래픽을 분산시키는 역할을 한다. 성인 손바닥 1~2개 크기 단말기가 카페 벽에 붙어있는 것을 생각하면 된다.
박기웅 세종대 정보보호학과 교수는 "관리가 되고 있지 않은 펨토셀이라면 공격자가 뜯어본 뒤 내부 펌웨어나 장비 초기화를 시도할 수 있다"며 "여기서 중요 키값들을 얻으면 통신사 시스템을 속일 수 있는 가짜 기지국을 구현하는 게 가능하다"고 설명했다.
박 교수는 기술의 발전으로 가짜 기지국을 만드는 문턱도 낮아졌다고 전했다. 라디오나 작은 방송국을 구현하는 데 쓰이는 유니버설 소프트웨어 무선주변장치(USRP)가 저렴해지면서다. 전파와 디지털 신호를 양방향으로 교환해 주는 장비다.
특정 지역에 피해가 몰린 이유는 가짜 펨토셀 서비스 반경에 한계가 있어서다. 공격자가 설치한 장소 인근을 머문 이용자는 타깃이 될 수 있다.
박 교수는 "가짜 기지국이 확보되면 공격자는 이용자와 중앙 시스템 사이 통신 전 과정을 지켜보고, 필요하다면 조작도 할 수 있다"며 "소액결제는 제한시간 내 본인확인 번호만 인증하면 되는 통신이다. ID·PW도 요구하지 않기 때문에 이같은 '중간자 공격'이 가능하다"고 부연했다.
LTE 펨토셀은 KT뿐 아니라 다른 이동통신사들도 운영한다. KT에서만 피해가 나온 건 비교적 관련 보안조치가 미흡했기 때문일 거란 지적도 있다.
업계 관계자는 "통신 송수신의 무결성을 검증하기 위해 통상적으로 '해시값'이란 걸 시스템에서 확인한다"며 "회사의 해시값 확인 과정이 허술했을 수 있다. 혹은 해시값 유효시간이 길어 공격자에게 비교적 넉넉한 준비 시간을 허용한 것도 상상해 볼 수 있다"고 말했다.
한편 민관 합동조사단을 꾸린 과기정통부는 피해 지역 이외 다른 곳에선 불법 기지국이 아직 확인되지 않았다고 전했다. 과기정통부는 해커가 불법 초소형 기지국으로 정보를 탈취했는지 여부, 무단 소액결제가 이뤄진 구체적 방식 등을 조사하고 있다.
legomaster@news1.kr
![[기자의 눈]남아공 장악한 중국의 과학기술 굴기](https://image.news1.kr/system/photos/2025/12/5/7636399/no_water.jpg/dims/crop/628x439)
