■ 방송 : YTN 라디오 FM 94.5 (09:00~10:00)
■ 진행 : 조태현 기자
■ 방송일 : 2025년 9월 10일 수요일
■ 대담 : 임종인 고려대 정보보호대학원 석좌교수

 

* 아래 텍스트는 실제 방송 내용과 차이가 있을 수 있으니 보다 정확한 내용은 방송으로 확인하시기를 바랍니다.

 

 

◆ 조태현 : 제가 앞서서 미스터리한 일이 벌어지고 있다고 말씀을 드렸는데요. KT 이용자들의 소액 결제 피해 말씀드리는 거였습니다. 지금 곳곳에서 피해 신고가 잇따르고 있고요. 의심 사례도 늘어나고 있습니다. 여전히 범행 경로 같은 것들은 오리무중인 측면들이 있습니다.자세한 이야기는 김종인 고려대학교 정보보호대학원 명예교수님과 함께 이야기 나눠보겠습니다.교수님 나와 계십니까?

 

◇ 임종인 : 안녕하세요. 임종인입니다.

 

◆ 조태현 : 예 안녕하십니까? 교수님 이번에 이 소식 전해드리면서 저도 많이 놀랐는데요.이게 KT 가입자들이 새벽 시간대에 소액 결제 피해를 봤다는 거 아닙니까?어떤 방식으로 피해가 발생했다는 겁니까?

 

◇ 임종인 : 일단은 본인이 모르는 가운데 소액 결제가 이루어지고 그것을 뒤늦게 알게 된 사건 아닙니까? 그런데 이 사건이 일반적으로 처음에는 해킹 아닌가 했었는데, 저같이 전문가가 보기에는 일단 특정 시간대에 새벽 시간대 특정 지역에서 집중해서 일어났고 처음에는 광명하고 금천구에서 일어났잖아요. 그다음에 퍼지고 있지만 그리고 비교적 소액이고 전체 피해 규모가 수천만 원에 불과하고 예 그러니까는 이게 일반 해킹이라고 하기에는 도저히 이상하다. 왜냐하면 요즘 해킹도 해킹에 비즈니스 해 가지고 다 ROI를 따지거든요.

 

◆ 조태현 : ROI가 뭡니까?

 

◇ 임종인 : 리턴온 인베스트먼트 해가지고요. 투자대 수익 비율이거든요. 이걸 갖다가 KT가 만만한 데가 아니라서 보안 장비라든지 보안 수준이 굉장히 높은데, 이거를 다 뚫고 인증 시스템도 뚫고, 그다음에 대상자의 휴대폰과 관련된 여러 가지 정보를 얻어가지고 범행 대상을 물색하고 해가지고 하려면 엄청 투자를 많이 했을 텐데, 기술 수준도 높고요. 근데 얻은 돈은 수천만 원에 불과하거든요. 근데 우리나라 올해 해킹 사건 많이 났잖아요. 랜섬웨어 사건 보통 나면 범인들은 몸값으로 몇 억씩 가져가거든요.

 

◆ 조태현 : 단위가 다르죠. 이거는

 

◇ 임종인 : 차라리 노력들이라면 랜섬웨어 일으키지 뭐 하러 이런 짓을 했냐. 일단 설명이 안 되는 거예요. 일반 해킹이라고 하기에는 그래서 저는 다르게 생각하고 있습니다.

 

◆ 조태현 : 그래서 어제 여기저기서 나온 보도를 보니까 유령 기지국을 세워서 이렇게 했다라는 이야기들이 나오더라고요. 이거는 무슨 말입니까? 잘 이해가 안 돼서

 

◇ 임종인 : 그게 예를 들면 큰 스포츠 경기나 큰 행사 있으면 왜 이동기지국이 들어가 있는 차량이 있잖아요. 그런 식으로 해서 특별한 경우에 이런 이동기지국이 그런 때도 필요하고 아니면 통신사 같은 경우에는 이렇게 기지국을 새로 세운다든가 어느 지역에 통신 환경을 테스트하기 위해서 그런 이동 기지국 장비를 가지고 이동하면서 네트워크 상태를 확인하고 그래요. 그리고 어떤 수사기관이 있지 않습니까? 우리나라는 다르지만 FBI라든지 영화 보면 영장 받아가지고 영장에 의해서 범인이 주거하는 근처에서 전화를 도청하지 않습니까? 도청하려고 이동기지국을 가면 거기서는 핸드폰은 항상 기지국하고 항상 연결돼 있거든요. 그런데 그 기지국 주파수 신호보다 전파 세계보다 훨씬 강한 정보를 강한 신호를 딱 띄우면 핸드폰이 착각해 가지고 정상적인 기지국이 아니고 가짜 이동기지국에 접속이 돼요. 그러면 이동 기지국에 접속이 되면 그다음부터 이 사람이 전화를 걸거나 문자를 보내거나 이렇게 하면 그걸 중간에 다 가로챌 수가 있는 거예요. 이래 가지고 지금 피해가 일어날 수 있는데, 그것도 보도가 나왔지만 제가 보면 별 가능성이 없다고 보는 게 이론적으로는 가능한데 이동기지국 장비 있잖아요. 그걸 IMSI-catcher라고 하는데 이거는 군사 장비나 그런 것처럼 미국에 외국에서 만드는 건데 판매할 때는 항상 구입 구매자의 신원을 확인해요. 그리고 굉장히 고가고요. 굉장히 중고 장비도 몇천만 원은 되거든요. 함부로 돈이 있다고 구매할 수도 없는 거고 그렇기 때문에 이거를 범인이 구매했다 그러면 그건 쉽지 않은 일이고, 그다음에 우리나라 전파법이 굉장히 처벌이 강하거든요. 이렇게 무허가 이동기지국을 운영하면 징역 3년이에요. 그리고 이런 불법적인 전파가 오고 가는지 항상 통신사는 감시하고 있거든요. 그렇기 때문에 새벽 시간대에 했는지는 모르지만 여러 가지 5천만 원 정도밖에 못 얻었거든요. 그러면 투자는 이것도 역시 이동기지국을 해도 굉장히 많은 투자를 한 건데, 겨우 5천만 원밖에 못 얻었다. 이것도 설명이 안 되는 거예요. 그래서 제가 쭉 생각해 보고 어제부터 그런 얘기를 했었는데 아마도 협력사 있지 않습니까? 예를 들면 내부 협력사라든지 이동기지국 전부 아웃소싱 하니까 이런 협력사라든지, 대리점이라든지 이래가지고 범행 대상을 쉽게 물색할 수 있고, 그다음에 장비를 갖고 있고 이러한 이동기지국 장비만 있다고 그래가지고 가로치기 할 수 있는 게 아니고요. 그 지역의 기지국 위치라든지 그다음에 주파수 대역이라든지 여러 가지 환경을 잘 알아야 사실 가로채기를 할 수 있거든요.

 

◆ 조태현 : 교수님께서 보시기에는 지금 KT 측에서 미상의 기지국 아이디 유령 기지국 해킹 당한 것 같다 이렇게 신고를 했는데 이건 아닌 것 같다는 말씀이신 거예요?

 

◇ 임종인 : 만약에 그랬다면 그럴 수도 있어요. 그랬다고 하면 외부자의 소행이 아니라

 

◆ 조태현 : 내부자?

 

◇ 임종인 : 내부자의 소행이 되는 거죠.

 

◆ 조태현 : 내부자나 협력사나 대리점이나 이런 쪽이다?

 

◇ 임종인 : 예. 그런 쪽의 소행이면 사람들은 기존에 갖고 있던 정보라든지 장비가 있기 때문에 별로 투자를 안 하고도 5천만 원 정도면 사실은 되고 그리고 그걸 갖다가 수사에 초점을 흐리기 위해서 여러 가지 다른 지역에서도 막 일으키고 그럴 수 있죠. 그래서 이거는 아마 수사 의뢰했는데 수사를 잘해서 KT 내부의 기록이라든지 이런 걸 보고 나올 수 있을 겁니다. 그런데 또 쉽지도 않아요.
 

-생략

 

https://n.news.naver.com/mnews/article/052/0002245073?sid=102

 

 

위 인터뷰 일부 내용 요약

 

문제는 범죄 수익 규모다. 임종인 고려대학교 정보보호대학원 석좌교수는 이날 YTN 라디오 인터뷰에서 "요즘 해킹도 비즈니스처럼 투자 대비 수익을 따진다"며 "KT 같은 대형 통신사의 보안망을 뚫기 위해 투입했을 높은 기술력과 시간을 고려하면 수천만원의 이익은 터무니없이 적다"고 말했다. "차라리 그 노력이라면 랜섬웨어를 일으키는 게 낫다"는 것이다.  

 

경찰은 범행 수법으로 '펨토셀'이라 불리는 초소형 기지국을 악용한 방식을 유력하게 검토하고 있다. 임종인 교수는 "가짜 기지국을 통해 이용자의 트래픽을 가로채 SMS, PASS, ARS 인증 등을 우회해 결제를 수행할 수 있다"고 설명했다. 불법 펨토셀을 특정 지역에 설치한 뒤 정상 기지국보다 강한 신호를 송출해 주변 이용자들의 휴대전화 접속을 유도하고, 이 과정에서 오가는 문자나 통화 내용을 가로채 인증 번호를 탈취할 수 있다는 것이다.

 

그러나 이 방식도 외부자의 단독 범행으로 보기에는 무리가 있다는 게 임 교수 등 전문가들의 설명이다. 해당 장비(IMSI-catcher)는 군사용 수준의 고가 장비로 구매 자체가 쉽지 않고, 무허가 운영 시 징역 3년의 처벌이 따른다. 또 통신사가 꾸준히 불법 전파를 감시하고 있어 탐지 위험도 높다.

 

1000~5000원 정도의 소액 결제는 2차 인증이 생략되는 경우가 많아 공격자가 동일 번호로 수백 차례 결제를 반복하는 '살라미 해킹'을 수행했을 가능성도 제기되지만, 이 역시 많은 투자 대비 적은 수익만을 얻을 수 있어 설명이 어렵다. 내부자 또는 협력사 관계자의 개입 가능성이 제기되는 배경이다. 

 

https://www.financialpost.co.kr/news/articleView.html?idxno=232891