미궁 빠진 KT 소액결제 사기, 특정 지역·새벽에만 왜?

74건의 피해 사례 중 대부분 새벽 4시쯤 경기 광명시와 서울 금천구를 중심으로 발생했고 피해자들은 모두 KT 또는 KT망 기반 알뜰폰 이용자에 SMS 미수신 상태에서의 인증 완료라는 공통점을 보인다.

결제 품목은 모바일 상품권·교통카드 충전 등이 다수 보고됐다.

이를 종합해 경찰이 수사 방향에 포함시킨 중계기(기지국) 침해 또는 가짜기지국 가능성이 지역 집중 현상을 설명하는 가설로 지목되고 있다.

9일 업계에 따르면 KT 소액결제 사기 피해가 특정 지역에 집중된 점을 고려했을 때 기지국이나 중계기에 스푸핑 ·침해가 일어났을 가능성을 점치고 있다.

최근 셀룰러 네트워크 취약점 연구에 따르면 공격자는 '가짜 기지국 '(IMSI Catcher)을 통해 NAS AKA 인증 절차를 우회하고 SS7 프로토콜의 취약점을 악용해 SMS 등을 가로챌 수 있다.

스마트폰의 5G 베이스밴드 (칩)의 취약점을 악용하면 이용자 모르게 조작하고 인증 과정을 우회할 수 있다. 이는 피해자들이 인증 메시지를 받지 못했는데 인증 완료된 현상을 설명한다.

미디어텍 모뎀의 최신 취약점(CVE-2025-20634)을 악용하면 원격에서 단말기를 제어하고 인증 과정을 우회할 수 있다는 연구 발표도 있다.

익명을 요구한 대학 교수는 "초기 상황에서 말씀드리기 조심스럽지만 가짜 기지국을 통한 공격시나리오 가능성이 있다"며 "와이파이(WiFi)로 예를 들면 ipTIME 공유기의 취약점을 발견하면 장비의 권한을 자신의 것으로 만들 수 있는 것처럼 최근 들어 기지국을 굉장히 소규모로 만들 수 있게 되다보니 가짜 기지국도 스몰셀((Small Cell)로 만들 수 있다"고 말했다.

복제폰을 통한 공격 가능성은 기술적 제약으로 가장 낮은 것으로 분석된다. USIM 복제에는 Ki 코드 해독이라는 고난도 기술이 필요하고 한국 통신사들이 운영하는 FDS 시스템은 동일 번호의 중복 접속을 실시간으로 차단하고 있다.

아울러 피해자들의 스마트폰 개통 경로가 모두 다르다는 점도 복제폰 가설과 맞지 않는다. 복제폰 공격은 특정 경로로 확보한 개인정보를 활용할 때가 많아 산발적인 개통 이력으로는 대규모 복제폰 제작이 현실적으로 불가능하다는 설명이다.

스미싱 또는 악성앱을 통한 OTP 가로채기 가설도 피해자들의 진술과 맞지 않아 상대적으로 가능성이 낮은 상태다. 피해자 다수는" 의심스러운 링크를 클릭하거나 앱을 설치한 적 없다"고 했다.

다만 정상 앱스토어를 위장한 악성앱이나 원격제어앱 설치 유도 수법이 정교해지고 있어 이용자가 인지하지 못하는 경우도 보고된다. 접근성 권한을 탈취한 악성앱은 화면 오버레이로 승인 과정을 조작할 수 있어 피해자가 모르는 새벽 시간에 소액결제를 실행할 가능성은 있다.

경기남부경찰청은 중계기 해킹을 포함한 다각적 수사를 진행하고 있다.

KT는 상품권 결제 한도를 100만원에서 10만원으로 축소했다.

현재 과기정통부와 KISA는 KT에 관련 자료 보전을 요구하고 KT에 방문해 현장조사에 착수한 상태다.