'유령 기지국' 출현, 통신망 신화 붕괴

2025년 8월 말부터 KT 가입자들을 대상으로 사용자 과실 없이 소액결제가 무단으로 이뤄지는 전례 없는 해킹 사건이 발생했다. 'IMSI 캐처'로 불리는 불법 기지국을 이용한 신종 범죄로, 9월 10일 정부 최종 집계 결과 피해는 278건, 피해액은 1억 7,000만 원에 달했다. 정부가 이동통신 3사 전체로 조사를 확대하면서, 국가 기간 통신망의 보안 체계 전반에 대한 근본적인 불신과 위기감이 고조되고 있다.

"아무것도 안 했는데"…속수무책 뚫린 KT
사건의 시작은 2025년 8월 말, 경기도 광명시와 서울 금천구 등 수도권 서부 지역에서였다. 다수 KT 가입자들이 잠든 새벽 사이, 자신도 모르게 수십만 원의 소액결제가 이루어진 사실을 발견했다. 결제 항목은 주로 현금화가 쉬운 모바일 상품권이나 교통카드 충전이었다.

피해자들은 "의심스러운 문자 메시지의 링크를 클릭하거나, 알 수 없는 애플리케이션을 설치하는 등"의 일반적인 금융 사기 범죄에 노출될 만한 행동을 한 적이 없다고 한목소리로 진술했다. 이는 악성코드 감염을 유도하는 기존 '스미싱'과는 완전히 다른 양상이었다. 일부 피해자는 카카오톡 계정 로그아웃이나 소액결제 한도 자동 상향 등의 2차 피해까지 겪으며 불안감을 호소했다.

초기 광명, 금천 지역에 집중됐던 피해는 이내 부천, 영등포, 부평 등 수도권 서부 전역으로 확산했다. KT 통신망을 임대해 쓰는 알뜰폰 가입자도 다수 포함돼, 이번 사태가 통신망 자체의 구조적 문제임을 시사했다. 피해 규모는 걷잡을 수 없이 커졌다. 8월 27일부터 9월 5일까지 40명, 2,569만 원으로 집계됐던 피해는 9월 10일 오후, 과학기술정보통신부(과기정통부)의 최종 발표에서 누적 278건, 1억 7,000만 원으로 불어났다.

'유령 기지국'의 정체…통신 프로토콜 허점 노렸다
사건 초기 경찰과 KT는 스미싱이나 특정 대리점 연루 가능성을 의심했으나, 피해자들에게서 어떠한 사용자 과실이나 공통점도 발견되지 않자 수사는 미궁에 빠졌다. 결정적 단서는 KT의 자체 통화기록 분석에서 나왔다. 피해자들의 통화 이력에서 KT 망 관리 시스템에 등록되지 않은 '미상의 기지국 ID' 접속 기록이 발견된 것이다.

이후 과기정통부와 KT는 이번 사태의 원인으로 'IMSI 캐처(IMSI Catcher)'라 불리는 '불법 초소형 기지국'을 이용한 신종 해킹을 공식 지목했다. 공격자는 실제 KT 기지국보다 더 강력한 신호를 송출하는 가짜 기지국을 특정 지역에 설치해, 인근 사용자들의 휴대전화 접속을 유도했다. 일단 휴대전화가 가짜 기지국에 접속하면, 공격자는 통신 내용을 가로채는 '중간자 공격(Man-in-the-Middle)'을 수행한다.

특히 공격은 최신 4G/5G 망 대신 암호화가 취약한 구형 2G 망으로 강제 접속시키는 '보안 다운그레이드 공격'을 동반한 것으로 분석됐다. 이 상태에서 공격자는 피해자의 통신 채널을 장악하고 원격으로 소액결제를 시도했다. 다수의 결제가 ARS(자동응답시스템) 인증을 통해 이뤄졌는데, 공격자가 중간에서 인증 전화를 가로채거나 위조된 인증 신호를 결제 시스템으로 전송한 것으로 추정된다. 이것이 피해자들이 아무런 인증 절차를 거치지 않았음에도 결제가 완료된 이유다.

이번 공격은 이동통신 표준 프로토콜 자체에 내재된 구조적 결함을 파고들었다. 전문가들은 ▲기지국과 단말기 간 상호 인증이 부재한 2G 통신의 취약점 ▲보안 채널 수립 전 일부 제어 신호가 암호화 없이 전송되는 문제 ▲미등록된 불법 장비의 접속을 허용한 KT의 펨토셀 보안 시스템 실패 등을 핵심 원인으로 지적했다.

KT '늑장 대응' 논란…정부, 이통3사로 칼날
KT의 초기 대응은 위기관리 능력에 심각한 허점을 드러냈다. KT는 9월 5일, 이미 네트워크상에서 비정상적인 '이상 호 패턴'을 감지했음에도 이를 '이용자 단말의 스미싱 감염'으로 오판했다. 이로 인해 며칠간의 귀중한 시간을 허비하며 피해를 키웠다.

또한 이상 징후를 인지하고도 3일이 지난 9월 8일 저녁에야 한국인터넷진흥원(KISA)에 침해 사고를 공식 신고해, 24시간 내 신고 의무를 규정한 정보통신망법을 위반했을 소지가 제기됐다. 심지어 KISA 최초 신고서에 '피해 사실 인지 전 이상 징후는 없었음'이라고 허위 기재했다는 의혹까지 불거졌다.

사태가 커지자 KT는 피해 금액 전액을 부담하고 , 상품권 업종의 소액결제 한도를 10만 원으로 하향 조정했으며 , 9일부터 전국 신규 초소형 기지국(펨토셀)의 통신망 접속을 전면 제한하는 조치를 발표했다.

정부는 KT와 달리 신속하고 단호하게 움직였다. 과기정통부는 9일, 민간 전문가를 포함한 총 14명의 '민관합동조사단'을 꾸려 즉각 조사에 착수했다. 이어 10일에는 KT뿐만 아니라 SK텔레콤과 LG유플러스 등 이동통신 3사 모두에게 신규 초소형 기지국 접속을 제한하도록 요청하며 사태가 통신업계 전반의 문제일 수 있다는 판단하에 선제적 조치를 단행했다. 과기정통부 장·차관은 연이어 브리핑을 통해 "이번 사건을 매우 엄중하게 보고 있다"며, "근본적인 대책을 수립하겠다"고 강조했다.

반복된 통신 대란…법·제도적 공백 드러나
이번 사건은 단순 금융 사기를 넘어 국가 기간 시설인 통신망 자체의 신뢰를 무너뜨렸다는 점에서 파장이 크다. 특히 사건 발생 불과 한 달 전, 정보보호 분야 1조 원 투자를 발표했던 KT가 원시적인 네트워크 공격에 뚫렸다는 사실은 보안 전략의 총체적 실패라는 비판을 낳고 있다.

2014년 KT 개인정보 유출, 최근 SK텔레콤 유심 복제 사기 등 대형 통신 보안 사고는 반복되고 있다. 시민단체들은 사고 발생 시 금전 보상으로 무마하고 근본 개선을 외면하는 통신사들의 안전 불감증과 규제 당국의 '솜방망이 처벌'이 참사를 반복시키고 있다고 지적한다.

현행법상 집단소송제나 증거개시제도가 미비해 피해자들이 거대 통신사를 상대로 기술적 책임을 입증하기란 불가능에 가깝다는 점도 문제로 꼽힌다. 이런 상황에서 개인정보보호위원회가 SK텔레콤 사건에 이어 이번 사건도 자체 조사에 착수하면서, 통신사의 책임을 강제할 강력한 제재가 나올지 귀추가 주목된다.

#KT해킹 #소액결제 #유령기지국 #IMSI캐처 #통신보안 #정보유출 #과학기술정보통신부