2025.11.01 토요일
검색
'심스와핑' 검색결과
기간검색
-
~
검색영역
검색어
-
KT 해킹, 펨토셀 정보 도용한 '불법 기지국' 사용 가능성…범죄 수법 미궁 속으로 [이코노믹데일리] KT 무단 소액결제 사태의 전말을 밝혀줄 핵심 단서가 될 범행 장비가 경찰에 압수되면서 범죄 수법이 단순한 펨토셀(초소형 기지국) 재활용을 넘어선 고도화된 방식일 수 있다는 분석에 무게가 실리고 있다. 펨토셀의 고유 인증 정보를 도용한 ‘불법 기지국’이나 ‘유심(USIM) 복제’를 통한 신종 금융 사기 ‘심스와핑(SIM Swapping)’ 가능성이 새롭게 제기된 것이다. 경기남부경찰청은 25일 이번 사건의 중국 국적 피의자 2명을 검찰에 송치했으며 이들이 중국으로 밀반출하려던 네트워크 장비 부품 27개를 압수했다고 밝혔다. 이 장비가 KT가 보급했던 펨토셀인지 아니면 다른 불법 장비인지는 아직 확인되지 않았다. 하지만 KT가 “해킹에 사용된 장비가 KT 망에 연동된 이력이 있다”고 밝힌 점은 중요한 대목이다. 이는 피의자들이 기존 펨토셀 장비 자체를 그대로 사용한 것이 아니라 미상의 경로로 확보한 펨토셀의 '고유 인증 정보'를 추출해 자신들의 불법 장비에 이식했을 가능성에 무게를 싣는다. 즉 KT 망에는 정상 장비로 인식되지만 실제로는 해커가 통제하는 ‘위장 기지국’을 통해 이용자들의 통신 정보를 가로채 ARS 인증 등을 탈취했을 수 있다는 분석이다. 이와 함께 해외에서 기승을 부리는 ‘심스와핑’ 범죄일 가능성도 배제할 수 없다. 심스와핑은 해커가 통신사나 내부자를 기만해 피해자의 전화번호로 새로운 유심칩을 발급받은 뒤 이를 이용해 금융 거래에 필요한 인증 정보를 가로채는 수법이다. 영국 BBC 보도에 따르면 영국에서는 2024년에만 3000건이 넘는 심스와핑 사례가 보고됐으며 지난달에는 한 사업가가 이 수법으로 25만 파운드(약 4억7000만원)를 탈취당하기도 했다. KT는 그동안 “유심의 고유식별번호(IMSI)와 인증키(Ki) 값은 암호화되어 있어 기술적으로 복제가 어렵다”며 심스와핑 가능성을 일축해왔다. 그러나 해커들이 서버 해킹 등 다른 경로를 통해 유심 복제에 필요한 정보를 확보했을 경우 이를 바탕으로 통신 시스템의 허점을 파고들었을 가능성은 여전히 남아있다. 이동통신사들이 이상정보탐지시스템(FDS)을 갖추고는 있지만 이 역시 완벽한 방어막은 아니라는 지적이다. 한 보안 전문가는 “불법 기지국이 범행 대상 이용자에 대한 통신을 중간에서 가로채 ARS 인증값 등을 알아낸 것으로 보인다”면서도 “유심 복제는 고도의 기술이 필요한 만큼 현재 알려진 정보만으로 단정하긴 어렵다”고 신중한 입장을 보였다. 결국 이번 사태는 KT의 허술한 펨토셀 관리가 범죄의 빌미를 제공한 것을 넘어 이를 악용한 고도화된 신종 사이버 금융 범죄의 시작일 수 있다는 우려를 낳고 있다. 경찰이 압수한 장비에 대한 정밀 분석 결과가 나와야 이번 해킹 사태의 정확한 전말이 드러날 것으로 보인다.2025-09-25 15:23:03
-
내 폰도 '쌍둥이폰' 되나 SKT 해킹, IMEI 유출 가능성…정부 "복제 불가능, 안심하라"지만 [이코노믹데일리] SK텔레콤 사이버 침해 사고와 관련해 단말기 고유식별번호(IMEI)와 개인정보를 저장하는 서버가 악성코드에 감염된 정황이 추가로 확인되면서 피해 우려가 커지고 있다. 다만 정부와 SKT는 유출된 정보만으로는 스마트폰 복제(쌍둥이폰)나 심스와핑(유심복제 사기) 가능성은 극히 낮다고 선을 그었다. SKT 침해사고 민관합동조사단은 19일 2차 조사 결과를 발표하고 이같이 밝혔다. 조사단에 따르면 악성코드에 감염된 서버는 기존 5대에서 18대 추가된 총 23대로 늘었으며 악성코드 역시 기존 4종에서 21종이 추가돼 BPF도어 계열 24종, 웹셸 1종 등 총 25종이 확인됐다. 특히 추가 감염이 확인된 서버 중 SKT 통합고객인증 서버와 연동되는 2대에는 고객 인증을 목적으로 호출된 IMEI 29만 1831건과 함께 이름, 생년월일, 전화번호, 이메일 등 다수의 개인정보가 저장돼 있었던 것으로 파악됐다. 다만 통화기록 데이터는 포함되지 않은 것으로 확인됐다. 조사단은 로그 기록이 남아있는 지난해 12월 3일부터 올해 4월 24일까지는 해당 서버에서 자료 유출이 없었다고 밝혔다. 그러나 최초 악성코드 설치 시점으로 추정되는 2022년 6월 15일부터 지난해 12월 2일까지 약 1년 반 동안의 로그 기록이 존재하지 않아 이 기간 동안의 유출 여부는 현재 확인되지 않고 있다. 만약 이 기간 IMEI까지 유출됐다면 심스와핑 등 피해 위험성이 커질 수 있다는 게 전문가들의 설명이다. 이에 대해 류제명 과학기술정보통신부 네트워크정책실장은 "노출된 IMEI 값은 열다섯 자리의 숫자 조합인데 그 조합만 가지고는 복제폰, 쌍둥이폰은 원천적으로 불가능하다는 것이 제조사들의 해석"이라며 "SK텔레콤이 부정가입 접속방지시스템(FDS)에서의 기술적 고도화 작업을 완료해 설사 쌍둥이폰이 만들어졌다고 하더라도 네트워크 접속은 완벽히 차단할 수 있다"고 강조했다. 이어 "기술적으로 100%는 장담하기 어려운 부분이기 때문에 사업자에게도 만에 하나 발생할 수 있는 피해 관련 보상책을 확실히 하라는 요구를 한 상태"라고 덧붙였다. 최우혁 과기정통부 정보보호네트워크정책관도 "로그가 남아있는 부분에 대해 유출이 되지 않은 것은 분명하고 그 이전 부분에 대해서는 다크웹 등을 모니터링하고 있는데 확인된 바가 없다"고 말했다. 전문가들은 IMEI 유출 시 심스와핑 공격 가능성이 커지고 유심보호서비스의 유효성에도 문제가 생길 수 있다고 지적하면서도 현재까지 피해가 발생하지 않았고 개인정보 유출만으로는 금융 피해로 이어지기 어렵다는 데에는 조사단과 의견을 같이했다. 다만 유출된 정보 종류가 많을수록 해킹 조직이 이를 조합해 악용할 여지가 커진다는 점은 공통된 우려다. 이번에 추가로 발견된 웹셸 악성코드에 대해 임종인 고려대학교 정보보호대학원 교수는 "해커와 내부 서버에 통신 채널을 만드는 것으로 BPFDoor의 특성일 뿐 별다른 것이 아니"라고 설명했으며 조사단 역시 일반적인 형태로 특별한 코드는 아니라고 밝혔다. 일각에서는 이번 해킹의 목적이 단순 개인정보 유출이 아닐 수 있다는 분석도 나온다. 임 교수는 "국가 주요 인물과 주요 기반시설에 악성코드를 깔아놨다가 유사시 작동시켜 국가를 마비시키려는 시도일 수 있다"며 "탈취한 정보가 다크웹 등에 올라오지 않은 것을 보면 해킹의 목적이 개인정보 유출이 아닐 수 있다"고 말했다. 류 실장도 "특정 데이터베이스를 타깃으로 해서 탈취하고 다크웹 같은 데서 거래를 시도하던 것과 양상이 달라서 발견된 서버에 들어온 목적이 무엇일지 면밀하게 보고 있다"고 언급했다. 조사단은 현재까지 유출된 유심정보 규모는 9.82기가바이트(GB)이며 가입자 식별키(IMSI) 기준 2695만 7749건으로 파악됐다고 밝혔다. 조사단은 6월까지 SK텔레콤 서버 시스템 전체를 강도 높게 점검할 방침이며 SK텔레콤은 비정상 인증 차단 시스템(FDS)을 고도화하는 등 대응에 나서고 있다.2025-05-19 14:43:19
많이 본 뉴스
영상
Youtube 바로가기
![[데스크칼럼] 배달앱 이중가격제, 소비자의 눈 가린 편리함의 그림자](https://image.ajunews.com/content/image/2025/10/28/20251028111824805807_518_323.jpg)