1. 개요

  • 2025년 8월 27일부터 시작된 KT 소액결제 해킹 사건은 불법 초소형 기지국(펨토셀)을 이용한 전례 없는 신종 해킹 수법으로 확인되었습니다.
  • 해커들이 가상의 기지국을 설치하여 KT 통신망에 무단 접속한 뒤, 이용자들의 개인 정보를 가로채 소액결제를 진행한 것으로 민관 합동조사단의 조사 결과 밝혀졌습니다.

 

2. 피해 규모 및 범위

2-1. 최종 확인 피해 현황

 - 소액결제 피해 (2025년 10월 17일 발표)

  • 피해자 수: 368명 (초기 278명 → 362명 → 368명으로 단계적 증가)
  • 무단 결제건수: 777건
  • 피해 금액: 2억 4,319만 원 (초기 1억 7천만 원에서 증액)
  • SMS 인증 피해: 63건 추가 확인
  • PASS 인증, 앱마켓 구매 시 통신 요금 합산 결제(DCB)에서는 이상결제 없음

 

 - 개인정보 유출

  • 불법 펨토셀 ID: 20개 (초기 2개 → 4개 → 20개로 확대)
  • 정보 유출 우려 고객: 2만 2,227명
  • 유출 정보: IMSI(국제이동가입자식별정보), IMEI(국제단말기식별번호), 전화번호
  • 유심키는 유출되지 않아 유심 복제 우려 없음
  • 이름, 생년월일, 성별 등 추가 정보 유출 경로는 추가 조사 중

 

 - 최초 개인정보 유출 시점

  • 초기 발표: 2025년 9월 26일
  • 실제 유출 시점: 2024년 10월부터 확인
  • 무단 소액결제 최초 시점: 2025년 8월 5일

 

 - 지역 확산

  • 초기: 광명·금천·부천에서 시작
  • 확산: 인천 부평구, 과천시, 영등포구 등 수도권 지역
  • 강원권: 강원 지역에서도 불법 펨토셀 ID 접속 이력 확인 (단, 결제 피해 없음)

 

2-2. 조사 범위 확대

  • 조사 대상 기간: 2024년 8월 1일 ~ 2025년 9월 10일 (약 13개월)
  • 기지국 접속 이력 분석: 약 4조 300억 건
  • 결제 이력 분석: 약 1억 5,000만 건
  • 통신 기록이 없는 2024년 8월 1일 이전의 피해는 파악 불가능
  • 기지국 접속 이력이 남지 않은 소액결제 피해도 일부 존재할 가능성

 

3. 해킹 수법 및 원인

3-1. 해킹 메커니즘

 - 불법 펨토셀 운용

  • 펨토셀: 반경 약 10-20m 내에서 통신을 제공하는 초소형 기지국
  • 해커들이 이를 악용하여 가짜 기지국을 구성하고 차량에 싣고 다니며 범행

 

 - KT 내부망 접속 원리

  • KT에 납품되는 모든 펨토셀이 동일한 인증서 사용
  • 해커가 이 인증서를 복사하여 불법 펨토셀 생성
  • 비정상 IP(타사, 해외 IP 등) 차단 체계 부재로 쉽게 접속
  • 인증서 유효기간이 10년으로 장기 설정되어 지속적 접근 가능

 

 - 개인정보 탈취 시나리오

  > KT는 국제표준화기구(3GPP), 한국정보통신기술협회(TTA) 표준권고에 따라 다음과 같은 암호화 체계를 운영 중:

  • 단말과 기지국 간: 구간 암호화
  • 단말과 코어망 간: 종단 암호화

 

  > 그러나 민관 합동조사단의 분석 결과:

  • 불법 펨토셀을 장악한 자가 종단 암호화를 해제 가능
  • 암호화 해제 상태에서 불법 펨토셀이 ARS, SMS 등 인증정보를 평문으로 취득 가능
  • 불법 펨토셀을 통해 결제 인증정보뿐만 아니라 문자, 음성통화 탈취 가능성 확인

 

3-2. 추가 정보 확보 경로 (조사 중)

 - 소액결제 진행 시 필요한 정보

  • 기지국에서 탈취 가능: IMSI, IMEI, 전화번호
  • 기지국에서 탈취 불가: 이름, 생년월일, 성별, 계좌정보 등

 

 - KT 내부 서버 침해 연계 의심

  • 2024년 3월~7월 BPFDoor, 웹셸 등 악성코드 감염 서버 43대 발견
  • 감염 서버에 저장된 정보: 성명, 전화번호, 이메일 주소, 단말기 식별번호
  • 민관합동조사단이 서버 침해와 소액결제 피해 간 연계성 정밀 조사 중

4. KT의 부실 관리 및 은폐 행위 (2025년 11월 5일 적발)

4-1. BPFDoor 악성코드 감염 은폐

 - 발견 사항

  • 2024년 3월부터 7월간 BPFDoor, 웹셸 등 악성코드 감염 서버 43대
  • KT가 이를 발견하고도 신고하지 않고 자체 처리
  • 감염 서버에서 가입자 정보(성명, 전화번호, 이메일, IMEI 등) 저장 확인

 

 - 정부의 판단

  • 최우혁 과기정통부 네트워크실장: "고의성이 있다고 보고 형법상 공무집행방해 혐의로 수사기관에 의뢰"
  • 정보통신망법상 침해사고 신고 의무 불이행
  • 과태료: 3,000만 원 이하

 

4-2. 서버 폐기 허위 보고

 - 적발 내용

  • KT는 KISA 자료 제출 요구 시 "8월 1일에 관련 서버 폐기"라고 답변
  • 실제로는 8월 1일(2대), 8월 중순(3차) 등으로 나누어 폐기
  • 정부 조사를 방해하려는 의도로 판단

 

4-3. 침해사고 신고 지연

 - 소액결제 사건

  • KT 발견: 9월 5일 새벽 3시 이상 통신 호 패턴 감지
  • KISA 신고: 9월 8일 19시 16분
  • 위반사항: 정보통신망법상 24시간 신고 의무 위반
  • 처벌: 정보통신망법 위반 행위로 조사 대상
  •  

 - 서버 침해 사건

  • 서버 침해 인지: 9월 15일 14시
  • KISA 신고: 9월 18일 23시 57분 (정보통신망법 위반)
  • 절차적 문제: 외부 보안업체 점검 후에야 인지하고 신고

 

 - 초기 판단 오류

  • KT가 초기에 단순 스미싱으로 잘못 판단하여 대응 지연

 

4-4. KT의 인정 및 사과 (2025년 11월 6일)

 - KT 공식 성명:

  • "민·관 합동조사단의 중간 조사 결과를 엄중히 받아들인다"
  • "악성코드 침해 사실을 즉시 신고하지 못한 점, 지연 신고한 점, 서버 침해 사실을 뒤늦게 신고한 점 등에 대해 깊이 사과"
  • "정부 조사단 및 관계 기관과 긴밀히 협력"

 

5. 정부 및 KT 대응

5-1. 정부 대응 구조

 - 민관 합동조사단

  • 구성: 과기정통부 2명, KISA 4명, 민간 위원 6명
  • 단장: 최우혁 과기정통부 네트워크실장
  • 조성 시점: 2025년 9월 9일

 

 - 조사 영역:

  • 불법 펨토셀에 의한 소액결제 및 개인정보 유출
  • 국가 배후 조직의 KT 인증서 유출 정황 (프랙 보고서)
  • KT 내부 서버 침해사고

 

 - 중간 조사 결과 발표

  • 발표일: 2025년 11월 5일~6일
  • 특징: 현재까지 확인한 주요 사항을 투명하게 공개
  • 향후 계획: 불법 장비 분석, 피해자 검증, 최종 조사 결과 발표 예정

 

5-2. KT의 보안 조치

 - 펨토셀 관리 체계 전면 재정비 (2025년 11월 6일 발표)

  > 인증서 체계 개선

  • 기존 인증서 전면 폐기 및 재발급
  • 펨토셀 작동 시마다 인증 수행하도록 변경
  • 미인증 장비는 원천적으로 망 접속 불가능

 

  > 하드웨어 보안 강화

  • 소프트웨어 위·변조 탐지: 시큐어 부트(Secure Boot) 기능 적용
  • 기기 위치 변경 차단
  • 미사용 펨토셀의 연동 차단

 

  > 접근 제어 강화

  • 망 접근 제어 정책 강화
  • 비정상 IP 차단 체계 구축

 

  > 통합 관제 체계 구축

  • 네트워크, IT, 보안 인프라의 모든 데이터를 통합 관제
  • 고객센터 문의, 수사기관 데이터 함께 분석
  • 이상 징후 실시간 탐지 및 사전 차단

 

  > 외부 협력 강화

  • 외부 보안 전문가 및 장비 제조사 협업
  • 통신 장비의 인증부터 망 접속, 서비스 연동까지 단계별 점검 확대

 

5-3. 소액결제 보안 조치

 - 기존 조치 (2025년 9월)

  > 인증 방식 변경

  • 9월 12일부터 상품권 소액결제 시 PASS 인증만 가능
  • 기존 SMS, ARS 인증 차단
  • PASS 인증: 지문이나 PIN 번호 입력 추가 필요

 

  > 한도 축소

  • 상품권 판매 업종 결제 한도: 100만 원 → 10만 원으로 축소

 

  > 고객 차단 방법 제공

  • 기본 한도 차단: 마이KT 앱에서 한도 0원 설정
  • 추가 보안 차단: 고객센터를 통해 PIN 번호 입력 추가
  • 완전 차단: 전담 고객센터를 통한 영구 차단 (해제 불가)

 

5-4. 고객 피해 보상 (2025년 10월~11월)

 - 기본 보상 (9월)

  • 무단 소액결제 피해 금액 전액 면제
  • 피해 고객 전원 위약금 면제

 

 - 추가 보상 조치 (2025년 10월 29일 발표, 11월 10일 시작)

  > 데이터 제공

  • 5개월간 월 100GB의 무료 데이터 제공

 

  > 보상금 선택

  • 15만원 상당의 단말 교체 할인 또는
  • 15만원 상당의 통신 요금 할인
  • 고객이 선택하여 적용

 

  > 보호 보험

  • 피해 고객들에 대한 보험 가입
  • 추가 피해 발생 시 보호

 

  > 지원 체계

  • 24시간 전담 고객센터: 080-722-0100
  • 유심 보호 서비스 제공
  • 안심 매장을 통한 고객 서비스 안내

 

5-5. 통신사 전체 보안 조치

  • SK텔레콤, LG유플러스: 불법 기지국 발견 안 됨
  • 그러나 동일한 피해 발생 시 전액 보상에 합의
  • 정부: 통신 3사 모두 신규 초소형 기지국의 통신망 접속 전면 제한

 

6. 조사 현황 및 향후 계획

6-1. 현재 진행 중인 조사

 - 경찰 수사

  • 수사전담팀 규모: 초기 1개팀(5명) → 4개팀(25명)으로 확대
  • 피의자로부터 압수한 불법 장비 분석 중

 

 - 민관합동조사단

  • 불법 장비 상세 분석
  • 피해자 분석 방식 검증
  • 누락된 피해자 존재 여부 확인
  • 문자, 음성통화 탈취 가능성 추가 실험

 

 - 개인정보보호위원회

  • 무단 소액결제에 필요한 개인정보 확보 경로 조사

 

6-2. 향후 발표 예정

 - 최종 피해 규모: 누락된 피해자 검증 후 발표

 - 위약금 면제 사유: 법률 검토를 거쳐 발표

  • 조사 결과 및 피해 상황을 종합적으로 검토
  • 이용약관상 위약금 면제 사유 해당 여부 판단

 - 재발방지 대책: 조사 완료 후 종합적인 대책 발표

 - 공무집행방해 혐의: 형사 수사 진행 중

 

7. 주요 쟁점 및 문제점

7-1. 기술적 쟁점

 - 암호화 체계의 취약성

  • 국제 표준(3GPP, TTA)을 따르고 있으나, 펨토셀 레벨에서 종단 암호화를 해제당함
  • 표준 보안이 실제 운영 환경에서 충분하지 않은 문제 발생

 

 - 개인정보 탈취 경로의 미스터리

  • 기지국에서 탈취 불가능한 정보들(이름, 생년월일 등)이 어떻게 유출되었는지는 아직 미해명
  • KT 내부 서버 침해와의 연계성 조사 중

 

 - 기지국 관리 체계의 부실

  • 동일 인증서 사용으로 인한 위험성
  • 10년 유효기간의 장시간 설정
  • 비정상 IP에 대한 차단 체계 부재

 

7-2. 관리·운영상 문제점

 - KT의 보안 문제

  • 펨토셀 관리의 전반적 부실
  • 과거 악성코드 감염 신고 의무 불이행
  • 서버 폐기 과정에서의 허위 보고

 

 - 신고 지연 문제

  • 소액결제 사건 3일 지연 신고
  • 서버 침해 사건 3일 지연 신고
  • 정보통신망법 위반 행위로 적발

 

 - 초기 대응 미흡

  • 단순 스미싱으로 초기 오판
  • 조사 범위 제한 (초기 3개월 → 최종 13개월)
  • 피해자 단계적 추가 발표로 인한 혼란

 

7-3. 법적·정책적 과제

 - 고의성 판단

  • 정부: KT의 허위 보고 및 미신고에 "고의성 있다"고 판단
  • 공무집행방해 혐의로 수사 의뢰
  • 정보통신망법 위반으로 과태료 부과 대상

 

 - 위약금 면제 기준

  • 아직 확정되지 않음
  • 피해 범위 및 조사 결과 종합 검토 예정
  • 전체 고객 대상 적용 여부 미결정

 

8. 현재 상황 (2025년 11월 6일 기준)

  • 추가 피해 발생: 없음 (9월 5일 이후 차단)
  • 피해자 현황: 2만 2,227명 (정보 유출), 368명 (소액결제 피해)
  • 피해액: 2억 4,319만 원
  • 보상 진행: 전액 보상 및 위약금 면제 진행 중
  • 조사 진행: 최종 결과 발표 대기 중
  • 법적 조치: 공무집행방해 혐의 수사 진행 중

 

9. 향후 주의사항 및 고객 조치
9-1. 피해 고객 확인 방법

  • IMSI(국제이동가입자식별정보), IMEI(국제단말기식별번호), 전화번호 유출 확인
  • KT로부터 개별 연락 수신
  • 24시간 전담 고객센터: 080-722-0100

 

9-2. 개인보호 조치

  • 유심 교체: 필요시 무료 교체 가능
  • 유심 보호 서비스: 가입 권장
  • 보험: KT에서 피해 보험 가입
  • 비밀번호 변경: 주요 서비스 암호 변경 권장

 

9-3. 소액결제 보안 설정

  • 마이KT 앱에서 소액결제 한도 0원 설정
  • PASS 인증 사용 시 추가 인증 필요
  • 영구 차단 서비스 이용 (080-722-0100)
저작자표시 비영리 동일조건 (새창열림)

'IT > News' 카테고리의 다른 글

2025.09.08 자산운용사 전문 전산관리 업체 지제이텍(GJTech) 킬린랜섬웨어 감염 요약  (0) 2025.09.16
2025.09.09 화천기계 해킹 사건 요약  (0) 2025.09.12
2025.09.08 HMM 해킹 사고  (0) 2025.09.09
2025.09.03 삼화콘덴서공업 해킹 및 내부자료 유출 사건 요약  (0) 2025.09.04
2025.08.31 넥슨 블루 아카이브 해킹 사건 정리  (0) 2025.09.03

+ Recent posts

티스토리툴바