“불법 기지국 통한 정보유출”…KT, 소액결제 피해 원인과 추가확산 경계

불법 초소형 기지국(일명 가짜 기지국)에서 가입자 정보를 탈취한 소액결제 피해가 기존 이동통신 인프라의 안전성에 근본적 질문을 던지고 있다. KT는 이번 공격의 핵심이 펨토셀(Femtocell) 기지국을 불법 개조한 신호 감청에 있었다고 밝혔다. IMSI(가입자식별번호) 유출 사례가 5561건에 달했고, 이번 피해는 단일 사건으로 278명의 실 사용자가 약 1억7000만원의 금전적 손해를 입으며 현실화됐다. 업계는 이번 사태를 ‘이동통신망 보안 관리’의 변곡점으로 지목하고 있다.

KT는 11일 서울 광화문 사옥에서 기자간담회를 열고, 최근의 무단 소액결제 사고가 범죄 조직이 불법 초소형 기지국 신호를 통해 가입자의 IMSI 값을 빼낸 결과라고 공식화했다. 조사 결과, 두 대의 불법 기지국이 2024년 6월 26일부터 가동됐으며, 해당 기지국 신호를 받아 IMIS가 유출된 가입자는 5561명에 달했다. 피해자 총 1만9000명이 노출됐으나, 실제로 무단 결제에는 개인 고유번호만으론 불충분해 이름과 생년월일 등 추가 개인정보 입력이 요구됐다. 결제 피해는 이들 중 278명에게 집중됐다.

펨토셀은 원래 실내 등 신호 불량 지역을 보완하기 위한 초소형 기지국이지만, 해커들이 실제 통신사 망에 등록된 장비를 개조해 인증 절차를 우회한 것으로 KT는 추정한다. 특히 이번 사건에서 기지국이 차량을 통해 이동하며 광범위 지역에서 신호를 송출해, 서울뿐 아니라 경기·인천 등 수도권 피해 우려도 커졌다.

이번 사고에서 쟁점은 IMSI 값만으로는 실제 소액결제가 불가능하다는 점이다. KT 측은 추가 개인정보 유출은 없었다고 밝혔으나, 피해 경로가 불분명한 만큼 과거 유출된 자료와의 결합·복제폰 활용설까지 제기되고 있다. IMEI(단말기 식별번호) 등 다른 정보의 서버 내 해킹 흔적은 현재까지 발견되지 않았다. 개인 인증(ARS) 과정에서의 악성코드, 휴면번호 이용 등 잠정 시나리오가 거론되는 가운데, 수사당국과의 공조를 통해 사건의 전모가 밝혀질 전망이다.

국내 약 15만 대 이상의 펨토셀이 상용망에 운영 중인 상황에서, 불법 기지국이 추가로 존재하거나 다양한 방식으로 악용될 가능성에도 시선이 쏠린다. 실제 관리 시스템에 등록되지 않은 장비가 망에 접속할 수 없도록 인증 체계를 보완하고, 전체 장비 ID 실사에 나설 방침이다. 미국 등 글로벌 시장에서는 펨토셀 등 초소형 기지국 인프라 보안 검증 절차를 엄격히 적용하고 있다.

이에 따라 KT는 소액결제와 관련한 피해 고객에 전원 보상을 약속하고, 소액결제 인증 절차에 바이오 인증 도입 등 기술적 보안 강화를 서두르고 있다. 유심 무상교체, 타사 이동 위약금 면제, 피해 가능 고객 안내 등 후속 대책도 추진한다. 이와 별도로 일부 서버 폐기에 대한 책임 문제와 내부 통제 시스템도 도마에 올랐다.

전문가들은 “이동통신 특화 IT 장비가 위·변조될 경우, 향후 5G·6G 환경의 개인정보 보호에도 ‘위험 신호’가 될 수 있다”며 “통신기기 공급망 검증, 인증-인프라 관리 체계 전면 재점검이 필수”라고 지적한다. KT도 경찰 및 민관 조사단과 협력, 추가 피해 방지와 망·보안 시스템 개선에 집중하겠다는 입장이다. 산업계는 이번 보안사고의 대응이 실질적 망 신뢰성 회복과 안전 인프라 구축의 선례가 될지 주목하고 있다.