KT 소액결제 해킹 논란, 무엇이 사실이고 무엇이 문제인가 — 한국 보안의 구조적 리스크와 해법

반응형

SKT 사태에 이어 KT에서까지 소액결제 이슈가 터지며 “보안은 남의 일”이라는 안일함이 완전히 깨졌습니다. 저는 이번 사건을 정리하면서, 우리가 얼마나 ‘보안 극장(Security Theater)’에 익숙해져 있었는지, 그리고 정부·기업·개인이 각각 무엇을 바꿔야 하는지 스스로도 많이 돌아보게 됐습니다.

 

사건 한눈에 정리

• 무엇이 벌어졌나? 9월 11일, 개인정보보호위원회는 KT로부터 개인정보 유출 신고를 접수했다고 공식 발표했습니다. KT는 불법 초소형 기지국(일명 펨토셀) 접속으로 5561명의 IMSI(유심 가입자 식별번호) 유출 가능성을 확인했다고 밝혔죠. 
• 피해 규모는? KT 고객센터에 접수된 무단 소액결제 관련 문의만 9만여 건으로 집계됐습니다. 확인된 직접 피해(취소 포함)는 수백 건 수준이지만, 문의 폭증은 ‘그림자 피해’(아직 드러나지 않은 피해) 가능성을 키웁니다. 
• 언제·어디서? 초기 사건은 8월 27~31일 경기 광명 등 특정 지역에서 집중 발생했고, 서울 금천 등으로 지역을 옮겨가며 보고됐습니다.
• 확실한 것 vs. 불확실한 것 — IMSI 유출 정황과 불법 기지국 사용은 확인됐지만, 이것이 곧바로 소액결제 발생의 직접적인 원인인지, 개인정보의 정확한 유출 경로(펨토셀·내부·제3기관 등)인지에 대해서는 아직 결론이 없습니다. KT도 “HSS(중앙 인증 서버) 침해나 복제폰 정황은 확인되지 않았다”고 밝혔으나, 결제 경로·기술적 메커니즘은 여전히 미확정입니다. 

항목	현재까지 확인	미확정/조사 중
개인정보 유출 신고	PIPC가 9/11 접수, KT는 5561명 IMSI 유출 가능성 보고	정확한 유출 경로, 추가 유출 규모
공격 수법	불법 펨토셀(유령 기지국) 접속 확인	펨토셀 ↔ 소액결제 인과관계
피해 현황	문의 9만여 건, 확인 피해 수백 건	‘그림자 피해’ 규모
핵심 인프라 침해	KT “HSS 침해·복제폰 정황은 없다”	결제 흐름·본인인증 우회 과정

[출처] 개인정보보호위원회, 언론 보도, KT 공지.

왜 이런 일이 가능했나 — 기술적 배경과 구조적 맹점

펨토셀(불법 초소형 기지국)은 주변 단말을 자신에게 붙게 만들어 통신 식별자(IMSI 등)를 캐치할 수 있습니다. 다만 IMSI 노출이 곧바로 소액결제 성공을 의미하진 않습니다. IMSI는 ‘누구의 유심인가’를 식별하는 키일 뿐, 결제에는 여러 추가 조건(본인 인증·결제 인증 루프)이 필요하기 때문이죠. 따라서 이번 사안은 “IMSI 노출 → 인증 체인 중 어떤 고리가 약했는가?”의 문제로 봐야 합니다. 현재까지 공표된 정보만으로 결제 경로의 단선 추정은 무리입니다. 

여기에 통신·결제의 결합(휴대폰 소액결제)이라는 한국형 편의 인프라가 리스크를 키웁니다. 통신 식별자·회선 상태·본인인증이 결제 여정에서 얽히면, SIM 교체/번호 이동/비정상 접속 같은 텔코 이벤트가 보안성에 직접적으로 영향을 줍니다. 국제적으로도 SMS·PSTN 기반 OTP는 고위험 채널로 분류되고 있고(SIM 스왑·스푸핑·가로채기), 고신뢰 체계에서는 지양하라는 권고가 강화되는 추세죠.

‘보안 극장’의 민낯 — 설치형 보안 SW와 망분리 신화

• 설치형 보안 프로그램의 역설 — KAIST 연구진은 국내 금융·공공 분야에서 광범위하게 쓰이는 7종 보안 프로그램에서 19건의 중대 취약점(키로깅, MITM, 인증서 유출, 원격코드실행 등)을 확인했습니다. “보안 강화” 명목의 필수 설치가 새로운 공격면을 넓힐 수 있음을 보여줍니다. 
• 망분리의 현실 — 망분리는 분명 효용이 있지만, 업무 현실과 동떨어진 과도한 물리적 분리는 오히려 우회(예외 연결, USB 반입 등)를 양산하고, 그 틈을 통해 내부로 곧장 침투하는 소프트웨어 백도어형 공격에 취약합니다. SKT 사태는 “망이 분리됐다”는 심리적 안전지대가 얼마나 위험한 착시인지 일깨웠습니다. 정부도 금융권 망분리 개선 로드맵을 발표하며 유연화에 나섰죠.

“정부만 조용했다?” — 민간 집중 보도 뒤에 가려진 심각한 국가망 리스크

최근 공개된 ‘APT Down’ 자료는 북한 연계로 추정되는 그룹의 작업 환경과 표적 흔적을 폭로했습니다. 여기에는 정부·공공·통신 분야를 겨냥한 정황이 포함돼 한국 국가망 보안의 취약성을 다시 환기합니다. 민간(통신·카드사 등) 사고만 주목하는 보도 프레임으로는 국가적 리스크를 과소평가하게 됩니다.

제도적 개혁의 방향 — “연결 지점부터 세어라”

미국 연방정부의 TIC(Trusted Internet Connections) 3.0 정책은 “정부 네트워크가 외부와 맞닿는 접점을 파악·최소화하고, 신뢰 구역·정책 집행 지점을 통해 가시성과 통제를 표준화”하는 접근입니다. 한국도 AI·클라우드 전환에 맞춰, ‘접점 관리→가시성→정책 집행’ 체계를 공공 전반으로 깔아야 합니다.

정부·기업·개인, 각각 무엇을 바꿔야 하나

① 정부

1. 접점 인벤토리 + 최소화 — 중앙·지방·산하기관의 인터넷 연결점, SaaS 트래픽, 원격접속, API 게이트웨이 현황을 전수 파악하고, TIC 3.0형 보안 정책 집행 지점(PEP)으로 수렴. 공공 클라우드 사업자·망연계 장비에 표준 텔레메트리 요구. 
2. 망분리의 유연화와 가드레일 — 기밀망은 더 강하게, 일반업무망은 제로트러스트·SaaS 통제·보안 프록시로 현대화. 금융위 로드맵과 보조를 맞춘 범정부 가이드 필요.
3. 책임의 선명화 — ISMS/ISP 인증만 요구하고 사고 시 기업에만 과징금을 때리는 구조에서 벗어나, 감독 실패에 대한 행정 책임(기관장 문책, 예산 감액 등)을 명문화.
4. 개인정보 최소수집 — 주민등록번호 처리 제한(법정주의)의 실효성을 높여, 불필요한 고유식별정보 요구를 과감히 폐지·정비. 위반 시 강한 제재를 일관되게 집행. 

② 통신사·금융사(기업)

1. SMS/PSTN OTP 의존 탈피 — 고위험 거래·결제 구간에서 SMS·음성 OTP를 제한하고, FIDO 패스키(WebAuthn), 하드웨어 키, 앱 내 푸시 승인 등 피싱·SIM 스왑 저항형 인증으로 전환.
2. 텔코 시그널 기반 리스크 엔진 — SIM 스왑/번호이동/로밍/IMSI 변동 등 신호를 실시간 탐지하여 거래 리스크에 반영. GSMA Open Gateway SIM Swap API 연동을 보안평가 체계에 편입. 
3. 기지국·코어망 보안 강화 — GTP/SS7/DIAMETER 경계에 대한 상시 모니터링과 FS.20 권고 준수, 원격제어 인증서·암호키 관리 정비. 펨토셀 등록/접속 검증 정책을 재설계.
4. 설치형 보안 SW 감축 — ‘필수 설치’ 정책을 전면 재검토하고, 브라우저/OS 네이티브 기능(FIDO, 커널 보호, 브라우저 격리)을 우선 활용. 취약한 보안 플러그인은 단계적 퇴출.
5. 사고 공개의 표준화 — ‘무침해’ 성급 공지 → 정정 반복의 신뢰 훼손을 막기 위해, 사실·가설·불확실성을 구분한 템플릿 보고·공지 체계 도입.

③ 개인(사용자)

1. 소액결제 한도·락 설정 — 통신사·플랫폼의 소액결제 한도·차단 기능을 즉시 점검·하향. 의심 결제 즉시 고객센터 신고·차단.
2. 인증 수단 업그레이드 — 가능하면 패스키(FIDO)를 기본 로그인/결제 인증으로 전환하고, SMS OTP는 예비수단으로만 사용. 
3. 이상 징후 감지 — 갑작스러운 신호 약화/끊김, 문자 수신 지연, 본인 모르는 개통·번호이동 알림은 SIM 스왑 의심 신호. 즉시 통신사 확인·결제 차단.

 ‘실전 체크리스트’

• 모든 주요 금융/커머스/이메일 계정에 패스키를 등록하고, SMS는 백업 수단으로 낮추기.
• 통신사 앱에서 소액결제 한도 0원 또는 최소화, 부가결제 차단 켜기.
• 휴대폰 분실·변조 대비해 eSIM/USIM 재발급 알림 활성화, 가족 연락처에 ‘통신사 즉시전화’ 항목 지정.
• 회사라면 결제·인증 시스템에 SIM 스왑 신호(번호이동/USIM 교체) 연동 → 고위험 거래 즉시 추가인증. 

 “보안은 제품이 아니라 운영이다”

KT 사안은 아직 수사가 진행 중이고, 언론이 제시한 몇몇 가설은 증거가 부족합니다. 다만 분명한 건, 한국의 통신·결제가 맞물린 구조와 설치형 보안 SW 의존, 과거식 망분리 신화가 현대 공격자에게는 오히려 틈이 되고 있다는 사실이죠. 정부는 접점부터 세고, 기업은 인증·시그널 기반 탐지를 고도화하며, 개인은 인증 체질을 바꾸는 것. 이 3박자가 맞아야 이번 같은 사고가 “한 번 난 사건”으로 끝날 수 있습니다.