KT 자체 파악 무단 소액결제 278건, 1억7000만원 피해
무단 소액결제 사태 원인으로 지목된 초소형 기지국 신규 접속 차단
최근 경기 광명시와 서울 금천구를 중심으로 잇달아 발생한 KT 이용자 휴대폰 무단 소액결제 사고의 원인으로 불법 초소형 기지국이 거론된다.
[자료: 연합]
이번 사건은 KT 고객과 KT 망 이용자를 대상으로 경기 광명시·부천시, 서울 금천구 등 특정 지역에서 피해가 발생했다. 과기정통부가 8일 진행한 현장 점검에서 KT는 무단 사고 원인 중 하나로 ‘불법 초소형 기지국의 통신망 접속’ 가능성을 언급했다.
황정아 의원실이 공개한 KT 침해사고 신고서에도 ‘광명 일대 소액결제 피해 VOC 통화이력 내 미상의 기지국 ID가 발견됨(현재에는 없음)’이란 내용이 적시됐다.
가짜 기지국을 이용한 해킹은 역사가 길고, 해외에서 자주 발생하는 유형의 사고다. 하지만 국내에선 아직 사례가 알려진 바 없었다.
초소형 기지국은 ‘펨토셀’이라는 통신장비를 말한다. 펨토셀은 네트워크 신호가 약한 가정이나 사무실에서 통신 품질을 높이기 위해 설치하는 무선 신호 증폭기로, 반경 10m 내 데이터 분산과 음영지역 해소에 쓰인다. KT 2013년 광대역 LTE 홈 펨토셀을 개발해 상용화했다.
이 기기는 전파 수신이 불량한 곳에서 통신 품질을 개선하기 위한 장비이다. 휴대전화 단말기는 특성상 가장 강한 신호를 보내는 기지국 장비에 자동으로 연결된다. 공격자들은 이를 악용해 자신들이 통제하는 펨토셀 기기로 단말기와 기지국 사이에 오가는 정보를 가로챈 것으로 추정된다.
한 보안 전문가는 “단말기와 기지국 사이 통신은 암호화돼 전송되지만, 기지국 간 통신은 복호화된 상태로 진행되기에 메시지를 가로채거나 개인정보를 탈취할 수 있다”고 말했다.
이 과정에서 이상 기지국 ID에 대한 인증 및 검증에 문제가 있었던 것으로 보인다.
그렇더라도 설명되지 않는 문제는 남아 있다.
해외 사례를 보면, 가짜 기지국을 이용한 범죄는 문자 메시지를 대량으로 뿌려 스미싱을 노리는 유형이 대다수로 피해자의 인식과 반응이 필요한 지점이 있다. 반면 이번 KT 무단 소액결제 사태는 피해자가 알지 못한 채 정보를 가로채고 소액결제를 진행했다는 점에서 한층 더 고도화된 공격일 수 있다는 우려를 남겼다.
소액결제를 하려면 문자 메시지나 패스(PASS) 앱, ARS 등을 이용한 본인 인증이 필요하다. KT가 최수진 의원실에 보고한 자료에 따르면, 이번 KT 무단 소액결제는 대부분 ARS 인증을 거쳐 이뤄졌다. 이 때문에 기지국과 ARS 인증 시스템 간의 취약점이 있을 가능성도 있다는 관측이 나온다.
소셜미디어 X(구 트위터)엔 새벽 시간에 자신이 모르는 사이 문화상품권 사이트에 가입됐고, 한동안 문자 메시지 등을 수신할 수 없었다는 피해 사례가 올라오기도 했다.
이번 공격의 피해 범위가 당초 예상보다 클 수 있다는 우려도 나온다. 소액결제 서비스는 접근성이 뛰어난 만큼 결제 내역을 일일이 확인하지 않는 경우도 어렵지 않게 찾아볼 수 있기 때문이다. 또, 이상 기지국 ID에 대한 인증 및 검증이 취약했다면 다른 통신사 역시 비슷한 위험에 놓일 가능성도 상당한 편이다.
[조재호 기자(sw@boannews.com)]
무단 소액결제 사태 원인으로 지목된 초소형 기지국 신규 접속 차단
최근 경기 광명시와 서울 금천구를 중심으로 잇달아 발생한 KT 이용자 휴대폰 무단 소액결제 사고의 원인으로 불법 초소형 기지국이 거론된다.
[자료: 연합]
이번 사건은 KT 고객과 KT 망 이용자를 대상으로 경기 광명시·부천시, 서울 금천구 등 특정 지역에서 피해가 발생했다. 과기정통부가 8일 진행한 현장 점검에서 KT는 무단 사고 원인 중 하나로 ‘불법 초소형 기지국의 통신망 접속’ 가능성을 언급했다.
황정아 의원실이 공개한 KT 침해사고 신고서에도 ‘광명 일대 소액결제 피해 VOC 통화이력 내 미상의 기지국 ID가 발견됨(현재에는 없음)’이란 내용이 적시됐다.
가짜 기지국을 이용한 해킹은 역사가 길고, 해외에서 자주 발생하는 유형의 사고다. 하지만 국내에선 아직 사례가 알려진 바 없었다.
초소형 기지국은 ‘펨토셀’이라는 통신장비를 말한다. 펨토셀은 네트워크 신호가 약한 가정이나 사무실에서 통신 품질을 높이기 위해 설치하는 무선 신호 증폭기로, 반경 10m 내 데이터 분산과 음영지역 해소에 쓰인다. KT 2013년 광대역 LTE 홈 펨토셀을 개발해 상용화했다.
이 기기는 전파 수신이 불량한 곳에서 통신 품질을 개선하기 위한 장비이다. 휴대전화 단말기는 특성상 가장 강한 신호를 보내는 기지국 장비에 자동으로 연결된다. 공격자들은 이를 악용해 자신들이 통제하는 펨토셀 기기로 단말기와 기지국 사이에 오가는 정보를 가로챈 것으로 추정된다.
한 보안 전문가는 “단말기와 기지국 사이 통신은 암호화돼 전송되지만, 기지국 간 통신은 복호화된 상태로 진행되기에 메시지를 가로채거나 개인정보를 탈취할 수 있다”고 말했다.
이 과정에서 이상 기지국 ID에 대한 인증 및 검증에 문제가 있었던 것으로 보인다.
그렇더라도 설명되지 않는 문제는 남아 있다.
해외 사례를 보면, 가짜 기지국을 이용한 범죄는 문자 메시지를 대량으로 뿌려 스미싱을 노리는 유형이 대다수로 피해자의 인식과 반응이 필요한 지점이 있다. 반면 이번 KT 무단 소액결제 사태는 피해자가 알지 못한 채 정보를 가로채고 소액결제를 진행했다는 점에서 한층 더 고도화된 공격일 수 있다는 우려를 남겼다.
소액결제를 하려면 문자 메시지나 패스(PASS) 앱, ARS 등을 이용한 본인 인증이 필요하다. KT가 최수진 의원실에 보고한 자료에 따르면, 이번 KT 무단 소액결제는 대부분 ARS 인증을 거쳐 이뤄졌다. 이 때문에 기지국과 ARS 인증 시스템 간의 취약점이 있을 가능성도 있다는 관측이 나온다.
소셜미디어 X(구 트위터)엔 새벽 시간에 자신이 모르는 사이 문화상품권 사이트에 가입됐고, 한동안 문자 메시지 등을 수신할 수 없었다는 피해 사례가 올라오기도 했다.
이번 공격의 피해 범위가 당초 예상보다 클 수 있다는 우려도 나온다. 소액결제 서비스는 접근성이 뛰어난 만큼 결제 내역을 일일이 확인하지 않는 경우도 어렵지 않게 찾아볼 수 있기 때문이다. 또, 이상 기지국 ID에 대한 인증 및 검증이 취약했다면 다른 통신사 역시 비슷한 위험에 놓일 가능성도 상당한 편이다.
[조재호 기자(sw@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg)