움직이면 끊긴다는 팸토셀, KT선 예외?…무단 결제 사고 미스테리

등록 2025.09.22 15:52:21수정 2025.09.23 13:14:36

당초 펨토셀 특정 지역에만 접속 허용…KT는 이동 중에도 망 연동돼

경쟁사는 기껏 2.8만대 팸토셀 운영… KT만 20만대 이상 넘어

방치된 장비가 해킹 통로 됐나…네트워크 관리 체계 '도마 위'

[서울=뉴시스] 최진석 기자 = KT 가입자의 무단 소액결제 피해 사고 원인으로 가상의 유령기지국 운영 의혹이 제기되자 정부가 긴급 점검에 돌입한 10일 서울 한 KT대리점에 KT로고가 보이고 있다.

과학기술정보통신부는 지난 8일 KT가 무단 소액결제 침해사고 원인의 하나로 불법 초소형 기지국의 통신망 접속을 언급했다고 밝혔다. 해커가 불법 초소형 기지국을 활용해 정보를 탈취했는지 여부 및 어떤 방식으로 무단 소액결제가 이뤄졌는지에 대해 정밀 조사 중이다. 2025.09.10. [email protected]

[서울=뉴시스] 심지혜 기자 = KT 무단 소액결제 사고의 원인으로 초소형 기지국(펨토셀)이 지목되면서 관리 체계 전반이 논란이 되고 있다. 특히 펨토셀이 차량 등에 실려 이동하면서도 KT 망에 연속 접속할 수 있었던 정황이 확인되면서 KT의 운영 방식과 보안 취약성이 도마위에 올랐다.

22일 경찰에 따르면 사건 피의자는 아파트 단지가 밀집한 지역을 돌며 불법 소형 기지국(펨토셀)을 승합차에 싣고 다녔다는 취지로 진술했다. 피해는 초기 특정 지역에 국한됐으나, 시간이 지나면서 다른 지역으로 확산됐다. 현재까지는 362명의 가입자가 누적 2억4000여 만원의 피해를 입은 것으로 집계됐다.

펨토셀 특정 지역만 쓰인다는데…'이동 차단' 안 된듯

펨토셀은 전파 음영을 해소하기 위해 설치하는 소형 기지국으로 반경 20~30m 정도의 범위를 커버한다. 휴대폰은 가장 강한 신호를 보내는 장비에 자동으로 연결되는데, 이 특성이 해커들에게 악용된 것으로 보인다.

정상적인 경우 펨토셀은 설치된 위치에서만 망 접속을 허용하고 무단 이동이 탐지되면 접속이 차단된다. 특정 기지국에만 접속될 수 있도록 설정이 돼 있다는 것이다. 망 접속 과정에서는 다중 인증 절차도 거치도록 설계돼 있다.

그러나 KT에서는 이 제한이 제대로 작동하지 않아 차량에 실린 펨토셀이 이동하면서도 망 접속을 이어갈 수 있었던 것으로 보인다. 사건 초기 특정 지역 가입자에게만 피해가 발생했으나, 시간이 지나며 피해 지역이 확대된 것도 이 때문이다.

이동통신 업계 한 관계자는 "음영지역 해소를 위해 설치하는 것인 만큼 특정 기지국에만 연동되도록 하고 있다"며 "이에 무단 이동시 접속은 차단된다"고 설명했다.

[서울=뉴시스] 김진아 기자 = 구재형 KT 네트워크부문 네트워크기술본부장이 18일 서울 종로구 KT광화문빌딩에서 KT 소액결제 피해 관련 대응 현황 발표 기자회견을 하고 있다. 2025.09.18. bluesoda@newsis.com

[서울=뉴시스] 김진아 기자 = 구재형 KT 네트워크부문 네트워크기술본부장이 18일 서울 종로구 KT광화문빌딩에서 KT 소액결제 피해 관련 대응 현황 발표 기자회견을 하고 있다. 2025.09.18. [email protected]

경쟁사보다 많은 펨토셀…관리 사각지대서 사고 났나

KT는 특히 경쟁사와 달리 수십만 대 단위의 펨토셀을 운영하고 있다. 업계에 따르면 SK텔레콤은 1만대 이하, LG유플러스는 약 2만8000대 정도라면 KT는 최근 3개월 내 사용 이력이 있는 장비는 18만9000대에 이른다. 접속 이력이 없는 장비만 4만3000대로 경쟁사 운영 수준을 뛰어 넘는다. 이 같은 운영 구조가 관리 사각지대를 불러왔다는 비판이 제기된다.

설치 방식에서도 차이가 있다. SK텔레콤과 LG유플러스는 펨토셀을 사업자가 직접 설치·관리하지만, KT는 소비자가 장비를 전달받아 직접 설치하는 경우가 있었다는 점이 일부 블로그 후기 등을 통해 알려졌다. 상대적으로 KT 장비의 설치나 접속 과정이 쉽고, 또 그만큼 해킹 위험에도 취약했다는 분석이다. 이번 무단 소액결제 사고가 이런 관리 공백을 파고든 것으로 보인다.

현재로선 펨토셀 해킹 방식이 명확히 규명되지 않은 상태다. KT가 운영하는 기존 펨토셀이 해킹돼 정보가 탈취된 것인지, 미등록 기지국을 해커가 신규로 설치한 뒤 망에 접속해 정보를 탈취한 것인지 파악되지 않은 상황이다. 펨토셀은 중국 알리바바 등 해외 유통망을 통해 공개적으로 거래되고 있어 비교적 쉽게 구할 수 있다. 해커가 이런 경로로 장비를 확보해 국내에 반입했을 가능성도 배제할 수 없다. 다만 현재까지는 기존 KT 장비를 개조해 활용했을 가능성에 무게가 실린다.

구재형 KT 네트워크기술본부장(상무)은 최근 기자 간담회에서 "불법 초소형 기지국이 KT망에 접속했다는 건 기존에 연동된 장비였다고 추정한다. (해커가) 통신에 상당한 지식이 있는 것으로 보인다"면서도 "관리시스템에 등록되지 않은 ID만 보였지 실체는 모르고 있다. 어떤 장비로 어떻게 연동됐는지는 합동 조사를 통해 확인할 수 있을 것"이라고 설명했다.

통신망엔 개인정보 없다는데…소액결제 어떻게

또 다른 쟁점은 펨토셀 해킹만으로 소액결제가 완료될 수 있었느냐는 점이다. KT는 이번 사고로 가입자식별번호(IMSI), 단말식별번호(IMEI), 휴대전화 번호 등이 유출됐다고 밝혔다. 다만 KT는 네트워크 단에서는 이름·생년월일 등 개인정보를 다루지 않는다고 설명했다.

소액결제 실행에는 이름·생년월일 등 추가 정보가 요구되고 있어 IMSI·IMEI만으로 결제가 이뤄졌는지는 불분명하다. 그러나 최근 KT가 별도로 서버 해킹 사실을 신고한 만큼 네트워크에서 빠져나간 값과 서버에서 유출된 개인정보가 결합됐을 가능성도 배제할 수 없다는 지적이 나온다.

김용대 KAIST ICT 석좌교수는 최근 자신의 SNS에 해커들이 구형 펨토셀을 루팅해 특정 문자·통화 패킷을 필터링하고, 확보한 개인정보 데이터베이스와 대조해 타깃을 선별했을 것이라는 가능성을 제시했다. 이후 소액결제를 신청하고, 인증 문자나 ARS에서 인증 내용을 추출해 결제를 이행했다는 것이다.

김 교수는 "펨토셀을 에그(휴대용 개인 와이파이기기)에 연결하고 배터리를 붙이면 움직이는 도청장치가 된다며 "차를 특정 지역에 세워두면 지나가는 휴대폰이 펨토셀에 붙고, 인증 내용을 빼내 결제를 완료할 수 있다"고 했다. 이런 방식으로 일정 시간 한 지역에 머문 뒤 다른 지역으로 옮겨 같은 수법을 반복했던 것으로 추정된다.

◎공감언론 뉴시스 [email protected]