KT 펨토셀 관리 부실로 개인정보 유출 및 소액결제 피해 발생

KT 펨토셀 관리 부실로 개인정보 유출 및 소액결제 피해 발생

KT의 부실한 펨토셀(Femtocell) 관리가 만 명 규모의 개인정보 유출과 2억 원대 소액결제 피해로 이어진 것으로 드러났다. 과학기술정보통신부 민관합동조사단은 6일 중간조사 결과를 발표하며 KT의 보안 관리 실태를 강하게 비판했다.

조사 결과, 불법 펨토셀 20개가 확인됐으며, 이를 통해 총 2만2,227명의 가입자 식별번호(IMSI), 단말기 식별번호(IMEI), 전화번호 등이 유출됐다. 또한 368명이 총 2억4,319만 원의 무단 소액결제 피해를 입은 것으로 조사됐다.

■ 종단 암호화 해제로 인증정보 평문 탈취

조사단은 실험을 통해 공격자가 펨토셀의 종단 암호화(End-to-End Encryption)를 해제할 수 있었음을 확인했다. 암호화가 해제된 상태에서는 결제 인증정보(ARS, SMS)가 평문(Plain Text)으로 전송되어, 해커가 이를 손쉽게 탈취할 수 있었다.

전문가들은 “통신망 구간에서 암호화가 풀리는 것은 심각한 보안 사고”라며 “이 경우 소액결제뿐 아니라 문자, 통화 내역 등 민감 정보가 노출될 수 있다”고 경고했다.

■ 동일 인증서 10년 사용...비정상 IP도 차단 안 해

KT는 자사 납품 모든 펨토셀에 동일한 인증서를 사용했고, 인증서의 유효기간도 10년으로 설정했다. 이로 인해 한 번 KT망에 접속한 펨토셀은 장기간 지속 접속이 가능했다. 해커가 한 번 인증서를 확보하면 장기간 공격 환경을 유지할 수 있었던 것이다.

또한 KT는 내부망 인증 절차에서 해외 IP·비정상 IP 접속을 차단하지 않았으며, 펨토셀 고유번호·설치 지역 등 형상정보가 유효한지 검증하지 않았다.

■ 제조사도 보안관리 허술

조사단은 펨토셀 제조사 역시 보안 관리가 미흡했다고 지적했다. 제조사는 셀ID, 인증서, KT 서버 IP 등 핵심 정보를 보안 절차 없이 외주업체에 제공했으며, 펨토셀 내부 저장장치에서 해당 정보를 쉽게 추출할 수 있는 상태였다.

“KT는 모든 펨토셀에 동일 인증서를 사용했고, 유효기간을 10년으로 설정했습니다. 해커 입장에서는 한 번 침입으로 장기간 지속적인 공격이 가능했습니다.”
— 민관합동조사단 관계자

■ 정부, 긴급 보안 조치 권고

조사단은 통신 3사에 대해 신규 펨토셀 접속을 일시 중단시킨 상태이며, KT에는 다음과 같은 보안 강화 조치를 명령했다.

• 인증서 유효기간 단축: 10년 → 1개월
• KT 유선망 외 IP 접속 차단
• 형상정보(기기번호, 위치정보) 검증 절차 강화
• 펨토셀 제품별 개별 인증서 발급

■ 향후 추가 조사 계획

조사단은 펨토셀을 통한 문자·음성통화 탈취 가능성에 대해서도 실험을 이어갈 계획이다. 전문가들은 “통신 인프라 수준의 보안 약점이 확인된 만큼, 단순한 인증서 교체 이상의 근본적인 보안 아키텍처 개선이 필요하다”고 강조했다.

과학기술정보통신부는 “이번 사건을 계기로 펨토셀 등 소형 통신장비의 보안 관리 체계를 전면 재점검할 예정”이라며, “통신 3사와 제조사에 대한 보안 기준 강화 및 주기적 인증서 갱신 의무화를 추진하겠다”고 밝혔다.

 

[KT 해킹 피해 관련 글]

2025.10.29 - [IT 소식 뉴스/IT 소식] - KT, 개인정보 유출 피해자 대상 100GB 데이터·15만원 보상 제공 및 피해 조회

KT, 개인정보 유출 피해자 대상 100GB 데이터·15만원 보상 제공 및 피해 조회

2025.10.30 - [IT 소식 뉴스/IT 소식] - KT 계열 알티미디어, 킬린(Qilin) 랜섬웨어 공격 대상 등재

KT 계열 알티미디어, 킬린(Qilin) 랜섬웨어 공격 대상 등재

2025.10.17 - [IT 소식 뉴스/IT 소식] - KT 불법 기지국 증가 — 개인정보 유출 및 무단 소액결제 피해 확산

KT 불법 기지국 증가 — 개인정보 유출 및 무단 소액결제 피해 확산