사건의 시작: “소액결제가 내 휴대폰으로 됐다고요?”
2025년 8월 말, 일부 KT 이용자들이 자신이 모르는 소액결제 내역을 발견하면서 사태가 시작됐다.
KT는 즉각 조사에 착수했고, 곧 약 278건의 무단 결제와 **5,561명의 이용자 정보(IMSI)**가 외부로 유출된 정황이 확인됐다.
IMSI(국제이동가입자식별정보)는 단순한 번호가 아니다.
이는 **휴대폰과 통신망이 서로를 인증할 때 사용하는 ‘핵심 신원 정보’**로, 유출되면 단말 복제나 통신망 스푸핑(위장 접속) 같은 공격이 가능하다.
즉, 이건 단순한 개인정보 유출이 아니라 ‘통신 신원 도용’의 가능성이 열린 사건이었다.
의심의 중심, ‘불법 초소형 기지국’의 등장
조사 과정에서 보안 전문가들이 주목한 단어가 하나 있다.
바로 ‘펨토셀(Femtocell)’, 일명 불법 초소형 기지국이다.
펨토셀은 원래 통신 음영지역을 보완하기 위해 쓰이는 소형 기지국 장비다.
하지만 악용될 경우, 이용자의 스마트폰을 속여 접속시키고 통신 데이터를 중간에서 가로챌 수도 있다.
KT 측은 “일부 불법 기지국이 사용된 정황이 있다”고 밝혔지만,
정작 해당 장비가 실제로 확보됐는지, 누가 설치했는지는 명확히 밝히지 못했다.
그래서 전문가들은 이렇게 말했다.
“장비 없이 가능했다면, 내부 시스템 접근이 있었던 게 아닌가?”
“펨토셀만으로는 IMSI 유출이 설명이 안 된다.”
해킹인가, 관리 부실인가 — 논란의 중심
KT는 초기 발표에서 “내부 서버에 악성코드나 침입 흔적은 없었다”고 강조했다.
그 말은 즉, ‘전통적인 해킹’은 아니었다는 의미다.
그러나 전문가들은 고개를 갸우뚱했다.
통신망의 인증서와 키(key)가 외부에 유출된 상태에서,
“침해 흔적이 없다”는 말은 논리적으로 모순이라는 것이다.
일부 보안분석가는 이렇게 분석했다.
“인증서가 탈취됐다면, 그 자체가 해킹이다.
로그에 흔적이 없다는 건 오히려 ‘탐지 실패’일 가능성이 높다.”
즉, KT는 **‘시스템이 뚫린 게 아니라 관리상 문제’**라고 설명하지만,
전문가들은 “그 말 자체가 보안 취약점의 증거”라고 보고 있다.
정부 조사로 드러난 추가 정황
과학기술정보통신부는 사건 직후 KT·LG유플러스·SK텔레콤 3사를 대상으로 정밀 조사를 진행했다.
특히 KT에 대해서는 포렌식 분석 및 인증체계 감사를 병행했다.
조사 과정에서 일부 전문가들은 KT의 인증 인프라 관리 구조가 오래된 방식을 유지하고 있다는 점을 지적했다.
- 인증서 관리 주기가 길고
- 접근 권한 로그가 분리돼 있지 않으며
- 제3자(협력업체) 계정의 접근 이력 검증이 부족했다는 것이다.
결국 이 사건은 “누가 해킹했나”보다 **“왜 탐지하지 못했나”**의 문제로 옮겨갔다.
통신 보안의 본질적 문제: ‘망은 안전하다’는 착각
KT해킹 사건은 단일 기업의 이슈가 아니다.
전문가들은 이 사건을 계기로 국내 통신망 보안 전반의 구조적 문제를 지적했다.
“국내 통신사는 여전히 ‘망은 안전하다’는 전제를 깔고 있다.
하지만 이제 통신망은 더 이상 폐쇄된 시스템이 아니다.
외부 접속 포인트가 수십, 수백 개에 달한다.”
펨토셀, 사물인터넷(IoT) 단말, 원격 관리 장비 등 새로운 접속 노드가 생길수록 공격 경로도 늘어난다.
이번 KT해킹 사건은 그 위험을 현실로 증명한 셈이다.
결론: ‘이건 이상하다’고 말한 이유
전문가들이 이 사건을 두고 “이건 이상하다”고 한 이유는 단순하다.
- 해킹 흔적이 없는데, 인증서가 외부로 나갔다.
- 내부 서버는 안전하다는데, 이용자 데이터가 유출됐다.
- 책임자도, 공격자도 명확히 드러나지 않았다.
즉, 설명되지 않는 부분이 너무 많다.
그리고 바로 그 ‘불명확함’이 가장 큰 보안 리스크다.
KT해킹 논란은 아직 끝나지 않았다.
해커가 남긴 흔적보다 더 무서운 건,
**“아무 흔적도 남기지 않은 시스템”**이니까.
답글 남기기