최근 KT 통신망을 사용하는 고객 중 일부가 개인정보 유출을 넘어 소액 결제 피해를 받으면서 새로운 보안 위협이 등장했다.

사건의 핵심 기술로 ‘가짜 기지국(IMSI Catcher)’이 지목되며, 보안과 제도적 대응의 필요성이 커지는 분위기다.

이에 과거 해외에서 존재했던 피해 사례와 국내 네트워크 보안, 기업별 대응 등을 정리했다.

▲ 가짜 기지국의 원리와 위협

가짜 기지국은 정상 기지국보다 강한 신호를 내보내 인근 휴대폰을 자신에게 연결시키는 장치다.

이 과정에서 국제 이동가입자 식별번호(IMSI)와 기기 고유번호(IMEI)를 강제로 확보하고, 통신 흐름을 복호화해 위치 추적·통화·문자 감청까지 가능하다.

특히 2G·3G 구조에서는 단말이 기지국을 인증하지 않는 설계적 한계와 구식 암호 알고리즘(A5/1) 취약점이 존재해 ‘강제 다운그레이드(fallback)’ 방식으로 쉽게 공격이 이뤄진다.

실제로 노르웨이·터키 등 유럽, 중국·인도·태국·필리핀 등에서 범죄조직이나 정보기관이 차량·휴대용 IMSI Catcher를 이용해 휴대폰을 감청하거나 대량 피싱 문자를 전송한 사례가 적발된 것으로 알려졌다.

대표적인 가짜 기지국 장비로는 미국 L3해리스가 제작한 ‘스팅레이’가 있는데, 차량에 탑재하거나 휴대용·배낭형으로도 운영되며 2G부터 4G까지 지원한다.

이 장비는 실시간 통화·문자 감청과 위치 추적이 가능해 수사기관에서 사용된 바 있다.

이어 가정이나 사무실의 통신 보강용으로 쓰이는 소형 기지국인 ‘펨토셀(Femtocell)’도 펌웨어 조작을 거치면 IMSI 탈취와 트래픽 감청에 악용될 수 있다.

최근에는 소프트웨어 정의 라디오(SDR)와 오픈소스 기지국 소프트웨어(OpenBTS)를 결합해 저가의 자체 가짜 기지국을 구현하는 사례까지 등장했다.

이처럼 기술 발전과 소형화로 인해 차량 탑재형, 드론 장착형, 휴대형 등 실전 배치 방식이 다양해지며, 정부기관뿐 아니라 민간 범죄조직도 손쉽게 운용할 수 있는 환경이 조성됐다.

본래 정부나 수사기관 전용이던 가짜 기지국 장비가 범죄조직까지 확산된 배경으로는 기술 발전으로 초기 고가·대형 장비가 휴대형·배낭형으로 소형화된 것과 중국을 통해 복제품이 저렴하게 유통된 점이 꼽힌다.

여기에 SDR 보급과 오픈소스 확산으로 전문지식이 없는 이들도 커뮤니티에서 제공하는 튜토리얼과 자동화된 사용자 인터페이스를 활용해 장비의 조작이 더 간편해졌다.

아울러 현재까지는 가짜 기지국과 관련해 불법 사용 단속과 법적 규제가 미흡하고, 탐지율과 추적 난도가 높은 특성이 겹치면서 범죄조직의 도구로 확산됐을 가능성이 제기되고 있다.

가짜 기지국 소액결제 주의 [Ghat-GPT 생성 이미지]

▲ 국내외 피해 사례와 보안 대책

KT 피해 사례를 살펴보면 가짜 기지국으로 의심되는 해킹 사건으로 5561명의 고객이 무단 소액 결제 피해를 입었다.

다만 KT는 고객 전원에게 유심을 교체해 주고 피해를 보상해 주어 실제 금전적 손실로 이어지지는 않았다.

앞서 SKT도 2696만 건의 IMSI가 유출되면서 1348억 원이 넘는 과징금을 부과받으면서 국내 통신업계의 보안 불안은 점차 커지는 분위기다.

현재는 이를 방지하기 위한 다양한 보안 대책이 개발되고 있다.

기술적으로는 5G 표준에서 IMSI 번호를 노출하지 않고 SUCI(암호화된 임시식별자)를 사용하는 방식을 도입했다.

이를 통해 단말이 연결할 때마다 다른 식별자를 전송하게 되어 반복 추적이 사실상 불가능해졌다.

또 IMSI Randomization, 인공지능 기반 IMSI Catcher 탐지 시스템, 캐처-캐처 탐지기와 같은 신기술도 연구·도입되고 있다.

이용자 차원의 보안 강화 대책으로는 2G 네트워크를 비활성화하는 설정을 작동하거나 ‘Cell Spy Catcher’ 등 탐지 앱을 사용하는 방안이 권장된다.

한편, KT와 LG유플러스 등은 양자암호통신(QKD)을 시범 적용해 기지국~핵심망 구간에서 통신 식별정보 노출을 원천적으로 차단하려는 시도를 진행 중이다.

양자암호는 기존 및 미래형 슈퍼컴퓨터로도 해독할 수 없기에 차세대 보안 기술로 평가된다.

정책적으로는 구식 2G·3G 네트워크 단계적 폐쇄, 다운그레이드 차단 규제, 불법 감청장비 사용 금지, 탐지 솔루션 도입 의무화 등이 추진된다.

일례로 EU에서는 최근 GDPR과 AI Act를 통해 감청장비의 불법적 사용을 엄격히 규제하고, 공공장소 실시간 안면인식까지 금지하는 등 개인정보 보호를 강화했다.

이에 국내에서도 최근 통신비밀보호법과 개인정보보호법 개정을 통해 보안 위협에 대응하자는 논의가 이어지고 있다.

양자암호통신 구조 [LG유플러스 제공]