핵심 요약
10일 과학기술정보통신부와 KT의 발표에 따르면 최근 발생한 KT 가입자 대상 무단 소액결제 사건은 불법 초소형 기지국(펨토셀) 연루 가능성에 무게가 실리고 있다. 민관합동조사단이 KT가 제출한 기지국 접속 정보를 바탕으로 정밀 분석을 진행 중이며, KT는 이번 사안이 유심(USIM) 해킹과는 무관하다고 밝혔다. 현재까지 확인된 피해는 278건, 약 1억7000여만원으로 집계됐으며, KT는 피해 금액 전액에 대해 고객에게 청구하지 않기로 했다.
핵심 사실
- 조사 시점 및 주체: 과기정통부는 10일 긴급 브리핑을 열고 민관합동조사단을 꾸려 정밀 조사를 지시했다.
- 의심 기술: 무단 소액결제에 사용된 장비는 반경 약 10m 커버리지를 가진 펨토셀(초소형 기지국)로 추정된다.
- 피해 규모: 현재까지 파악된 신고·확인 건수는 278건이며, 피해액은 총 약 1억7000여만원이다.
- KT의 초기 차단 조치: KT는 등록되지 않은 기지국 ID를 확인해 네트워크 접근을 차단했고, 통신 3사는 신규 초소형 기지국의 코어망 접속을 전면 제한했다.
- 유심·IMSI 유출 여부: KT는 IMSI·유심 정보 유출은 없었다고 주장했으나, 코어망 접속 경로 규명이 남아 있어 완전한 결론은 미확정이다.
- 보상·조치 방향: KT는 피해 금액을 고객에게 청구하지 않기로 했고, 과기정통부는 위약금 면제 등 추가 조치도 검토 중이다.
사건 배경
펨토셀은 가정이나 소규모 사무실에서 기존 인터넷 회선을 통해 통신 사업자 코어망에 연결되는 초소형 기지국이다. 반경 약 10m 내에서 음영지역 해소나 데이터 분산을 위해 쓰이지만, 관리·인증이 제대로 되지 않을 경우 외부 장비가 네트워크에 접근할 수 있는 취약점이 존재한다. 과거 통신 사고 사례에서도 관리 미흡으로 인한 인증·접속 오류가 문제로 지적된 적이 있어 이번 사건의 기술적 맥락을 이해하는 데 참고가 된다.
이번 사건은 해커가 관리되지 않는 펨토셀을 탈취하거나 유사한 장비를 제작해 가짜 기지국을 구성한 뒤, 해당 장비 근처에 있던 이용자 트래픽을 가로채 소액결제를 시도한 정황으로 보인다. 다만 코어망 수준에서 등록되지 않은 기지국 ID가 어떻게 접속해 인증·식별 정보까지 접근했는지는 현재 조사 중이다. 이해관계자로는 통신사업자(KT 포함), 과기정통부, 그리고 피해를 주장하는 가입자들이 있다. 통신사 측의 내부 보안 절차와 규제 당국의 감독 체계가 함께 쟁점이 되고 있다.
주요 사건 전개
사건은 고객 민원 접수와 내부 로그 분석을 통해 수면 위로 올라왔다. KT는 통화·트래픽 패턴에서 특정 기지국 ID가 발견됐고, 이 ID가 자사 등록 장비 목록에 존재하지 않는 것을 확인했다. 이후 해당 접속 경로를 차단했고, 민관합동조사단에 관련 데이터를 제출해 외부 전문가와 함께 원인 규명에 나섰다.
과기정통부는 같은 날 통신 3사에 신규 초소형 기지국의 통신망 접속을 전면 제한하도록 권고했고, 합동조사단은 펨토셀의 물리적 탈취·복제 가능성, 코어망 접속 인증 절차의 취약점, 그리고 가입자 인증 정보 유출 여부를 중심으로 조사 범위를 설정했다. KT는 현재 추가 피해를 차단한 상태라고 보고했으나, 코어망에 등록되지 않은 장비가 일시적으로 접속한 사실 자체가 확인돼 정보 유출 우려는 지속된다.
SK텔레콤의 과거 유심 해킹 사례와 비교해, KT 측은 이번 사건을 유심 해킹과는 분리된 사고로 규정했다. 과거 사례에서는 유심 복제·탈취가 문제였지만, 이번에는 네트워크 접속 경로 자체의 비정상성이 핵심이라는 주장이다. 정부는 합동조사단의 분석 결과에 따라 위약금 면제 등 고객 보호 조치를 판단하겠다고 밝혔다.
분석 및 의미
첫째, 이번 사건은 이동통신 인프라의 분산형 장비에 대한 관리·감독 체계가 미흡할 때 발생할 수 있는 보안 리스크를 명확히 드러냈다. 펨토셀처럼 소규모 기지국은 설치와 운영이 비교적 쉬운 반면, 운영자 인증·접속 통제에 취약점이 생기면 코어망 수준의 식별정보까지 위협받을 가능성이 있다.
둘째, 통신사업자와 규제당국의 책임 분담과 기술 표준 재정비가 필요하다. 통신 3사가 신규 초소형 기지국의 접속을 제한한 조치는 즉각적 대응으로 의미가 있으나, 근본적으로는 펨토셀 인증 기준, 원격 모니터링 의무화, 정기적 보안 점검 규정 등이 보완돼야 한다. 또한 코어망 접속 로그의 실시간 연계와 비정상 탐지 알고리즘 도입이 재발 방지에 기여할 수 있다.
셋째, 소비자 보호 측면에서 기업의 신속한 피해 보상과 투명한 정보 공개가 신뢰 회복의 관건이다. KT가 피해금액을 고객에게 청구하지 않기로 한 결정은 피해 확산을 막는 단기 조치로 평가되지만, 장기적으로는 조사 결과에 따른 책임 규명과 보안 개선 계획 공개가 필요하다.
비교 및 데이터
| 사건 | 유형 | 확인 피해 | 통신사 |
|---|---|---|---|
| 이번 KT 사건 | 불법 초소형 기지국(펨토셀) 의심 | 278건·약 1억7000여만원 | KT |
| 과거 SKT 유심 해킹 | 유심 복제·탈취(인증키 노출) | 피해 및 보상 사례 존재 | SK텔레콤 |
위 비교표는 유형별 위협의 차이를 보여준다. 펨토셀 연루의 경우 네트워크 접속 경로가 문제인 반면, 유심 해킹은 가입자 식별모듈 자체의 탈취가 핵심이다. 두 유형 모두 가입자 인증 정보가 악용될 가능성이 있으므로, 기술적·운영적 대응이 병행돼야 한다.
반응 및 인용
정부 발표 직후 과기정통부 관계자는 조사 계획과 통신사 지침 시행 배경을 설명했다. 당국은 민관합동조사단을 구성해 불법 초소형 기지국의 존재 여부와 코어망 접속 경로를 면밀히 분석하겠다고 밝혔다.
민관합동조사단을 구성해 정밀 조사 중이며, KT로부터 불법 초소형 기지국에 대한 보고를 받았다.
과학기술정보통신부
KT 측 네트워크 담당자는 내부 로그 분석 결과와 차단 조치 상황을 설명하며, 현재는 추가 이상 접근을 차단했다고 밝혔다. 동시에 유심이나 IMSI 유출은 없었다는 입장을 분명히 했다.
특정한 기지국 ID가 있었는데 실제 저희 망에 없는 장비였고, 이를 차단할 수 있는 방법을 찾아 현재는 완벽히 차단된 상태다.
구재형 KT 네트워크기술본부장 상무
한 보안 전문가는 펨토셀 기반 공격 시나리오와 필요한 기술적 대응 방향을 제시했다. 해당 전문가는 관제 체계 강화와 함께 장비 유통·설치 과정의 인증 절차 개선이 시급하다고 분석했다.
관리되지 않은 초소형 기지국이 악용되면 코어망 접근 경로를 확보할 수 있다. 실시간 로그 연동과 비정상 행위 탐지 시스템이 필요하다.
정보보안 전문가
불확실한 부분
- 코어망에 등록되지 않은 기지국 ID가 어떻게 접속해 인증 정보를 획득했는지는 아직 규명되지 않았다.
- 가짜 기지국을 만든 주체의 신원과 장비 확보 경로는 공식 확인이 나오지 않았다.
- 초기 분석에서 IMSI·유심 유출이 없다고 했으나, 완전한 로그·포렌식 결과가 발표되기 전까지는 결론을 내리기 어렵다.
총평
이번 사건은 소형 기지국을 매개로 한 새로운 유형의 통신 보안 사고 가능성을 보여줬다. 단기적으로는 통신사들의 차단 조치와 피해 보상 결정이 피해 확산을 막는 데 기여하겠지만, 근본적 해결을 위해서는 기술 표준·인증 절차의 강화가 필요하다. 특히 펨토셀 같은 분산형 장비에 대한 등록·모니터링 의무화와 코어망 접속 제어가 보완돼야 한다.
향후 과기정통부와 합동조사단의 조사 결과가 공개되면 책임 소재와 제도 개선 방향이 구체화될 것이다. 소비자는 통신사 공지와 합동조사단의 권고를 주의 깊게 확인하고, 의문이 있을 경우 사업자에 즉시 문의하는 것이 바람직하다.