KT 소액결제 해킹 분석: 불법 기지국과 Zero-Click 공격

KT 소액결제 해킹 사건의 범인이 최근 경찰에 의해 검거되었습니다. 주요 내용은 다음과 같습니다.

🕵️‍♂️ 검거된 용의자

중국 국적의 40대 남성 2명: A 씨(48세)와 B 씨(44세), 모두 중국 동포(조선족)이며 한국에 합법 체류 중인 일용직 근로자였습니다. (A 씨는 인천국제공항에서 입국 직후 체포, B 씨는 서울 영등포구에서 긴급체포)

 

📡 범행 수법

A씨는 불법 소형 기지국 장비를 차량에 싣고 수도권을 돌아다니며 KT 이용자의 휴대폰을 해킹해 모바일 상품권 구매, 교통카드 충전 등 소액결제를 수행.

B씨는 이 결제 건을 현금화한 혐의를 받고 있습니다.

경찰은 A 씨가 사용한 불법 기지국 장비를 확보했으며, 장비의 해킹 방식은 아직 규명 중입니다.

 

📊 피해 규모

피해자는 KT 및 KT망을 사용하는 알뜰폰 가입자 중심.

피해 사례는 199건 이상, 피해액은 1억 2천만 원 이상으로 집계됨.

KT 자체 집계로는 278건, 약 1억7천만 원 피해로 추정

 

📱 불법 기지국과 Zero-Click 공격의 실체

2025년 하반기, 대한민국 통신 보안의 민낯이 드러나는 사건이 발생했습니다. 바로 KT 이용자를 대상으로 한 무단 소액결제 해킹 사태입니다. 피해자는 자신도 모르는 사이 수십만 원의 모바일 상품권, 교통카드 충전 등이 결제되었고, 그 과정에서 인증 메시지조차 받지 못했습니다. 이 사건은 단순한 스미싱이나 피싱을 넘어선, 고도화된 해킹 기술이 동원된 것으로 추정되며, 통신 인프라의 구조적 취약점을 드러냈습니다.

 

🧠 사건 개요: 새벽에 벌어진 무단 결제

KT와 KT망을 사용하는 알뜰폰 가입자들을 중심으로 피해가 집중되었으며, 대부분 새벽 시간대에 발생했습니다. 피해자들은 결제 내역을 보고서야 해킹 사실을 인지했고, 인증 메시지나 알림은 전혀 없었습니다. 경찰과 과기정통부는 민관 합동 조사단을 꾸려 수사에 착수했고, KT는 뒤늦게 피해 고객에게 결제 요금 면제 조치를 취했습니다.

 

🧪 해킹 기술 분석: 불법 기지국과 중간자 공격

이번 사건에서 가장 주목받은 기술은 바로 ‘불법 펨토셀(Femtocell)’입니다. 펨토셀은 통신 음영지역을 보완하기 위해 설치되는 초소형 기지국으로, 통신사 망과 연결되어 단말기와 코어망 사이의 신호를 중계합니다. 해커는 이 장비를 차량에 싣고 이동하며 피해자 단말기의 신호를 가로채는 방식으로 공격을 수행했습니다.

 

이 방식은 전형적인 중간자 공격(MITM, Man-In-The-Middle)의 변형으로, 단말기의 국제이동가입자식별정보(IMSI)를 탈취한 뒤 이를 이용해 결제를 시도한 것으로 추정됩니다. IMSI는 단말기 고유 식별자이며, 이를 통해 통신사 인증을 우회하거나 결제 시스템에 접근할 수 있는 가능성이 제기됩니다.

 

🕵️‍♂️ Zero-Click 공격 가능성

일부 전문가들은 이번 사건에 ‘Zero-Click’ 공격이 사용됐을 가능성도 제기합니다. 이는 사용자가 아무런 행동을 하지 않아도 기기가 감염되는 방식으로, 최근 iOS와 Android에서 보안 취약점이 발견되며 주목받고 있는 기술입니다. 피해자들이 인증 메시지를 받지 않았다는 점, 카카오톡이 자동 로그아웃되거나 재가입되는 현상 등이 이를 뒷받침합니다.

 

🔓 SIM 스와핑과 내부자 개입 가능성

또 다른 가능성은 SIM 스와핑입니다. 이는 해커가 피해자의 전화번호를 자신의 SIM 카드로 옮겨 인증을 가로채는 방식입니다. 하지만 이번 사건은 특정 통신사 가입자에게만 피해가 집중되었고, 인증 메시지 자체가 오지 않았다는 점에서 단순한 SIM 스와핑보다는 통신망 내부의 취약점이나 내부자 개입 가능성이 더 높게 점쳐지고 있습니다.

 

💳 결제 시스템의 허점: PG사와 PASS 앱

KT의 소액결제 시스템은 PASS 앱을 통한 본인 인증, ARS 또는 SMS 인증을 거쳐 결제가 이루어지는 구조입니다. 그러나 이번 사건에서는 인증 절차가 우회되었고, 일부 피해자는 PASS 앱이 정상 작동하지 않았다고 증언했습니다. 이는 결제대행사(PG사) 또는 통신사의 인증 시스템에 취약점이 존재했음을 시사합니다.

 

🧯 대응 방안: 개인과 기업의 보안 전략

개인이 할 수 있는 조치

• 소액결제 차단: KT 앱(My KT) 또는 고객센터를 통해 한도를 0원으로 설정.
• 결제 내역 확인: 카드사, 통신사, 앱스토어 등에서 주기적으로 점검.
• 증거 보존: 문자, 앱 로그, 결제 내역을 캡처해 경찰 신고 시 제출.
• 즉시 신고: 경찰(112), KISA(118), KT 고객센터에 동시 신고.

 

기업과 정부의 대응

• 2차 인증 도입: 지문, 얼굴 인식, 비밀번호 등 복합 인증 방식 도입 추진.
• 펨토셀 관리 강화: 미작동 기기 정비 및 인증 체계 재정비.
• 보안 인프라 점검: 코어망과 기지국 간의 암호화 및 인증 프로토콜 재검토.
• 민관 협력 조사: 기술적 원인 규명과 제도 개선을 위한 협력 강화.

 

📉 시사점: 통신 인프라의 보안 재정비 필요

이번 KT 소액결제 해킹 사건은 단순한 개인 피해를 넘어, 대한민국 통신 인프라의 구조적 보안 허점을 드러낸 사건입니다. 특히 펨토셀과 같은 장비가 해킹에 악용될 수 있다는 점은 통신사와 정부 모두에게 경각심을 불러일으켰습니다. 앞으로는 단말기 보안뿐 아니라, 통신망과 결제 시스템 전반에 걸친 보안 강화가 필수적입니다.

 

🧩 결론

KT 소액결제 해킹은 단순한 스미싱이나 피싱을 넘어선 고도화된 사이버 공격입니다. 불법 기지국을 통한 중간자 공격, 인증 우회, 결제 시스템의 취약점 등 다양한 기술이 복합적으로 작용한 것으로 보이며, 이는 통신사와 정부가 보안 체계를 근본적으로 재정비해야 할 시점임을 보여줍니다. 사용자 역시 소액결제 차단과 인증 절차 강화 등 자가 보안 조치를 통해 피해를 최소화해야 합니다.