"KT 무단결제 됐다면 도청도 가능… 국가 기간망 전체의 위기" KT Micro-Payment Probe Reveals Potentia

[정승남세기영어교육연구회장]

"KT 무단결제 됐다면 도청도 가능… 국가 기간망 전체의 위기"

KT Micro-Payment Probe Reveals Potential National Eavesdropping Threat

[KT 해킹 사태] 보안업계 "초유의 도청사태 우려"

Investigation extends as experts warn of critical communication infrastructure vulnerabilities and possible state-backed hacking

전문가들이 중요한 통신 인프라 취약점과 국가 지원 해킹 가능성에 대해 경고함에 따라 조사가 확대되고 있습니다

By Kim Kang-han Published 2025.12.10. 01:01 The Chosun Daily / 조선일보
​

KT unauthorized micro-payment incident shows signs of escalating into an unprecedented wiretapping incident targeting the national backbone communication network. The public-private joint investigation team, formed in September to investigate the incident, looks into the possibility of wiretapping for over three months. Photo shows a KT branch in Jongno-gu, Seoul, on the 9th morning. /Newsis
​
The joint government-private investigation into the KT unauthorized micro-payment incident has entered its third month, taking about a month longer than the SK Telecom hacking investigation. As the probe extends beyond expectations, security experts speculate that the case may not merely involve unauthorized micro-payments but could escalate into a historic eavesdropping scandal where hackers breached the nation’s critical communication infrastructure by decrypting encrypted communications and real-time monitoring of personal smartphones. In fact, the National Intelligence Service (NIS) warned KT in September, stating, “This could threaten national cybersecurity,” and the joint investigation team is experimentally examining the possibility of eavesdropping. A source from the investigation team told this newspaper on the 8th, “We will disclose the final results once the investigation, including the eavesdropping issue, is completed.”
​
Security experts have consecutively analyzed that eavesdropping using illegal femtocells (miniature base stations) is technically feasible. A security industry insider said, “This micro-payment incident demonstrates that communication infrastructure itself can be a hacking target,” adding, “If femtocells directly connected to a telecom company’s core network are hacked, it enables not only micro-payment fraud but also real-time eavesdropping and surveillance of personal devices. Therefore, regardless of the time it takes, we must thoroughly investigate to uncover the cause and the perpetrators.”
​

Graphics by Yang In-sung
​
◇Unauthorized Micro-Payments: Possibility of ‘Organized Eavesdropping’
​
When the unauthorized micro-payment incident occurred in August, the security industry already raised doubts, arguing it was not a typical hacking method. The total damage amounted to 240 million Korean won, but the profit for hackers was disproportionately low compared to the effort required. A security industry insider said, “Stealing hundreds of billions of won through hacking is common, but risking illegal femtocells transported in vehicles for just 200 million won doesn’t make sense.” This suggests the incident’s primary purpose was not financial gain.
The security industry focuses on the ‘6th femtocell’ among those disclosed by KT. KT publicly revealed 20 illegal femtocell IDs in October, and the 6th femtocell accessed the KT network from October 22, 2024, to August 23 of last year, moving across Seoul, Gyeonggi, Incheon, and Gangwon for 305 days. However, this femtocell was unrelated to unauthorized micro-payments. It had accessed the KT network for an extended period for purposes other than financial gain. Only five of the 20 IDs were used for micro-payment fraud.
​

Graphics by Yang In-sung
​
◇Femtocell-Based Eavesdropping Proven Experimentally
​
Eavesdropping via femtocells has already been experimentally proven. Professor Kim Yong-dae of KAIST’s School of Electrical Engineering conducted research on femtocell security vulnerabilities in 2014, commissioned by the Korea Internet & Security Agency (KISA) and the three major telecom companies, and confirmed that eavesdropping through femtocells is possible. In a conversation with this newspaper, he said, “The fact that unauthorized micro-payments occurred technically implies that eavesdropping was possible.” He added, “KT disclosed that names, phone numbers, and birthdates were leaked via femtocells, but micro-payments require additional verification via text or ARS. Ultimately, this means the hacking group obtained this information in real time, which is equivalent to eavesdropping.”
​
There is also speculation that KT’s femtocells may not have supported encryption. Professor Choi Woon-ho of Sogang University (Director of the Metainnovation Research Center) said, “KT often uses old equipment without replacing it with newer models,” explaining, “End-to-end encryption (encrypting data from sender to receiver) is only available in expensive new equipment, so many outdated devices remain in use, creating conditions conducive to eavesdropping.”
​
According to police, the perpetrators used Chinese-made femtocells and mobile hotspots (eggs). Professor Kim said, “By attaching a single router (network device), all traffic from the femtocell can be redirected to overseas servers.” This means communication data from tens of thousands of users could have been intercepted. A security industry insider said, “Fortunately, the suspects arrested for unauthorized micro-payments—a ‘deviant’ act—provided an opportunity for the joint investigation team to probe the eavesdropping issue. If not for the micro-payment incident, KT might still be unaware of the illegal femtocells’ existence.”
​

KT unauthorized micro-payment incident shows signs of escalating into an unprecedented wiretapping incident targeting the national backbone communication network. The public-private joint investigation team, formed in September to investigate the incident, looks into the possibility of wiretapping for over three months. Photo shows a KT branch in Jongno-gu, Seoul, on the 9th morning. Photo by Ko Un-ho
​
◇Scale of Illegal Femtocell Access Unverifiable
​
KT disclosed that 22,227 subscribers had connected to illegal femtocells. However, this count only covers the period from August 1, 2024, to September 10 of this year, meaning the number of subscribers who accessed illegal femtocells before this period remains unknown.
Critics warn that this incident could lead to severe secondary crimes beyond micro-payment fraud. Real-time interception of text messages or ARS authentication could enable tailored voice phishing scams impersonating bank employees. Additionally, tracking the movements of key national figures could pose a direct threat to national security.
Professor Kim Seung-joo of Korea University’s Graduate School of Information Security said, “It is true that hacking femtocells enables eavesdropping,” adding, “If the femtocell access logs overlap with the movements of key government figures, it strongly suggests that a hacker group backed by a specific nation was involved.”
​
☞KT Unauthorized Micro-Payment Incident
​
This security breach occurred when KT’s miniature base station server was hacked, resulting in 368 customers suffering unauthorized micro-payment fraud. To illustrate: Imagine sending a package (call/message) via a convenience store (fake convenience store: illegal femtocell) near your home, which then passes through a logistics center (KT). Hackers set up fake convenience stores, intercepted packages, checked their contents for micro-payment fraud, and sent them to the logistics center as if nothing happened. The logistics center should deliver sealed boxes (encrypted data), but either the boxes were never sealed or the seals were so weak that hackers could easily open them.
​
· This article has been translated by Upstage Solar AI.

-------------------------------------------------------------------------------------------------------

"KT 무단결제 됐다면 도청도 가능… 국가 기간망 전체의 위기"

[KT 해킹 사태] 보안업계 "초유의 도청사태 우려"

김강한 기자 입력 2025.12.10. 01:00 조선일보

KT 무단 소액 결제 사건이 국가 기간 통신망을 대상으로 한 초유의 도청 사건으로 비화할 조짐을 보이고 있다. 지난 9월 사건 조사를 위해 구성한 민관합동조사단은 석달 넘게 도청 가능성까지 함께 들여다보고 있다. 사진은 9일 오전 서울 종로구에 있는 KT 대리점 모습./뉴시스

KT 무단 소액 결제 사건에 대한 민관합동조사단의 조사가 3개월째 이어지고 있다. SK텔레콤 해킹 조사보다 한 달가량 더 걸리는 것이다. 조사가 예상보다 길어지자 보안 업계에선 이번 사건의 실체가 무단 소액 결제 사건이 아니라 해커가 통신사의 통신 내용 암호화를 무력화해 실시간으로 개인 스마트폰을 엿보는 국가 기간망이 뚫린 초유의 도청 사건으로 비화할 수 있다고 전망한다. 실제 국정원은 지난 9월 “국가 사이버 안보를 위협할 수 있다”며 KT에 경고했고, 민관 합동 조사단도 도청 가능 여부를 실험을 통해 살펴보고 있다. 조사단 관계자는 지난 8일 본지에 “도청 문제를 포함해 조사가 완료되는 대로 최종 결과를 공개하겠다”고 말했다.

보안 전문가들은 불법 펨토셀(초소형 기지국)을 활용한 도청이 기술적으로 가능하다는 분석을 잇달아 내놓고 있다. 보안 업계 관계자는 “이번 소액 결제 사건은 통신 인프라 자체가 해킹 대상이 될 수 있다는 것을 보여준 사례”라며 “통신사 핵심 망과 직접 연결되는 펨토셀이 해킹될 경우 소액 결제 피해를 넘어 개인 단말기에 대한 도·감청이 가능하기 때문에 시간이 얼마나 걸리든 철저히 조사해서 원인과 배후를 밝혀내야 한다”고 말했다.

그래픽=양인성

◇무단 소액 결제, ‘조직적 도청’ 가능성

지난 8월 발생한 무단 소액 결제 사건 당시 보안 업계에서는 이미 정상적인 해킹 방식이 아니라며 몇 가지 의문을 제기했다. 지금까지 집계된 피해액은 2억4000여 만원인데 해킹에 들인 노력에 비해 해커들이 얻는 이익이 지나치게 적기 때문이다. 한 보안 업계 관계자는 “해킹으로 수백억 원을 탈취하는 것은 흔한 일인데 2억원 벌려고 불법 펨토셀을 차량에 싣고 돌아다니는 위험을 감수했다는 것은 말이 되지 않는다”고 했다. 이번 사건의 주목적이 무단 소액 결제를 통한 금전 탈취가 아니었다는 것이다.

보안 업계는 KT가 공개한 불법 펨토셀 중 ‘6번 펨토셀’에 주목한다. KT는 지난 10월 불법 펨토셀 아이디(ID) 20개를 공개했는데 그중 6번 펨토셀은 2024년 10월 22일부터 지난 8월 23일까지 305일간 서울·경기·인천·강원 지역을 돌아다니며 KT망에 접속했다. 그러나 해당 펨토셀은 무단 소액 결제와는 무관했다. 금전적 이익이 아닌 다른 목적을 위해 장기간 KT망에 접속했다는 것이다. 20개 ID 가운데 소액 결제에 활용된 불법 펨토셀은 5개뿐이었다.

그래픽=양인성

◇펨토셀 활용 도청, 실험으로도 입증

펨토셀을 활용한 도청은 이미 실험으로도 입증됐다. 김용대 카이스트 전기전자공학부 교수는 2014년 한국인터넷진흥원(KISA)과 통신 3사 의뢰로 펨토셀 보안 취약점을 연구했고 펨토셀을 통한 도청이 가능하다는 것을 밝혀냈다. 김 교수는 본지와 통화에서 “무단 소액 결제가 있었다는 얘기는 기술적으로 도청이 가능했다는 것과 같은 말”이라고 말했다. 그는 “KT가 펨토셀을 통해 이름·전화번호·생년월일이 유출됐다고 밝혔는데 소액결제를 위해서는 문자나 ARS 인증이 더 필요하다”면서 “결국 이들 정보를 해킹 조직이 실시간으로 취득했다는 것인데, 이는 도청을 했다는 얘기”라고 말했다.

애초에 KT 펨토셀이 암호화를 지원하지 않았을 가능성도 제기된다. 최운호 서강대 교수(메타이노베이션센터장)는 “KT가 오래된 장비를 최신 장비로 교체하지 않고 그대로 쓰는 경우가 많다”면서 “종단간 암호화(보내는 사람부터 받는 사람까지 데이터를 암호로 잠그는 것)가 되는 신형 장비는 고가이기 때문에 구형 장비를 상당수 그대로 쓰다보니 도청에 용이한 조건이 만들어졌다”라고 말했다.

경찰 발표에 따르면 범인들은 중국산 펨토셀과 에그(모바일 핫스팟)를 사용했다.

김 교수는 “여기에 라우터(네트워크 장비) 하나만 붙이면 펨토셀에서 나오는 모든 트래픽을 해외 서버로 보낼 수 있다”고 말했다. 수만 명의 통신 데이터를 중간에서 수집할 수 있었다는 뜻이다. 한 보안 업계 관계자는 “경찰에 검거된 피의자들이 무단 소액 결제라는 ‘일탈’ 행위를 한 덕분에 다행히도 민관 합동 조사단에서 도청 문제를 조사할 기회가 생겼다”고 말했다. 무단 소액 결제가 없었다면 지금도 KT는 불법 펨토셀 존재 자체를 몰랐을 수 있다는 뜻이다.

KT 무단 소액 결제 사건이 국가 기간 통신망을 대상으로 한 초유의 도청 사건으로 비화할 조짐을 보이고 있다. 지난 9월 사건 조사를 위해 구성한 민관합동조사단은 석달 넘게 도청 가능성까지 함께 들여다보고 있다. 사진은 9일 오전 서울 종로구에 있는 KT 대리점 모습. /고운호 기자

◇불법 펨토셀 접속자 규모 확인 불가

KT는 불법 펨토셀에 연결된 적이 있는 가입자가 2만2227명이라고 밝혔다. 하지만 통신 기록을 보관하는 2024년 8월 1일부터 올해 9월 10일까지 시점만 따진 것이어서 이전에 얼마나 많은 가입자가 불법 펨토셀에 접속했는지는 알 수 없다.

이번 사건이 소액 결제 피해로 끝나는 게 아니라 심각한 2차 범죄로 이어질 수 있다는 지적이 나온다. 실시간으로 주고받는 문자 메시지나 ARS 인증을 이용해 은행 직원을 사칭한 맞춤형 보이스피싱 범죄로 이어질 수 있다. 또 국가 중요 인사 동선 파악도 가능해 국가 안보 문제와도 직결될 수 있는 문제다.

김승주 고려대 정보보호대학원 교수는 “펨토셀을 해킹하면 도청할 수 있는 것은 사실”이라며 “펨토셀 접속 흔적과 정부 핵심 인사 동선이 겹쳤다면 특정 국가 배후의 해커 조직이 도청했다고 강하게 의심할 수 있다”고 말했다.

☞KT 무단 소액 결제 사건

KT의 초소형 기지국 서버가 해킹 당해 368명 고객이 무단으로 소액 결제 피해를 본 보안 사고다. 택배(통화·메시지)를 보낸다고 가정하면, 택배를 수거하는 편의점에서 물류센터(KT)를 거치게 되는데, 해커가 우리 집 바로 앞에 가짜 편의점(불법 펨토셀)을 차려 놓고 택배를 받아 내용물을 확인한 뒤 불법 소액 결제에 활용하고 아무 일 없었다는 듯이 물류센터로 보낸 것이다. 물류센터는 내용물을 알 수 없게 밀봉한 박스(암호화)에 담아 배달해야 하는데 처음부터 밀봉하지 않았거나 해커들이 쉽게 박스를 뜯어 볼 수 있을 만큼 허술하게 밀봉했을 가능성이 있다.

--------------------------------------------------------------------------------------------------

KT, 초소형 기지국 모두에 인증키 1개… 24만개 출입문 비번 똑같게 설정한 셈

KT's 240,000 Femtocells Share Single Authentication Key

Security Experts Demand External Verification After Large-Scale Breach Exposes National Infrastructure

보안 전문가들, 대규모 유출로 국가 인프라 노출 후 외부 검증 요구

[KT 해킹 사태] 최고관리자 계정 암호화도 안 돼

김강한 기자 입력 2025.12.10. 01:01 조선일보

서울 광화문 KT 본사 모습. 2025.9.23/뉴스1 ⓒ News1 김명섭 기자

해커 조직이 KT의 펨토셀(초소형 기지국)을 노려 KT 네트워크망에 침투한 것은 KT가 애초 펨토셀 관리를 허술하게 했기 때문에 가능한 일이라고 보안 업계는 지적한다.

우선 KT가 전체 펨토셀(24만여 대)의 인증키를 동일하게 설정한 것부터 문제였다. 인증키 하나만 확보하면 전체 펨토셀망에 접속이 가능했던 것이다. 인증키는 시스템이나 네트워크에 들어가기 전에 ‘너 진짜 맞아?’라고 확인하는 일종의 비밀번호다. 인증키를 모르면 현관문을 열고 집 안으로 들어갈 수 없는 것과 같다. 사이버 보안 전문 기업 티오리(Theori) 분석에 따르면 KT는 건물 전체 모든 문을 열 수 있는 만능키인 ‘최고 관리자 계정(root 계정)’에도 별도 암호를 설정하지 않았다. 루트 계정을 알면 해커가 손쉽게 인증키를 확인할 수 있고, 가짜 펨토셀을 동원해 쉽게 KT망에 접속할 수 있었다. KT가 펨토셀 보안을 기기당 개별 열쇠가 아니라 하나의 만능 열쇠로 열리는 구조로 설계해 놓았고, 그 만능 열쇠도 쉽게 얻을 수 있도록 설정해 물리적으로 수백 개의 불법 펨토셀을 만들 수 있었다는 얘기다. 보안 업계가 이번 사건을 국가 기간망에 대한 대규모 도청 사건이라고 보는 이유다.

앞서 지난 4월 필리핀에서도 중국인 1명이 불법 펨토셀처럼 가짜 기지국 역할을 하는 ‘IMSI(국제 이동통신 가입자 구별번호) 캐처’를 활용해 선관위 사무실 근처에서 도청을 시도하다 붙잡히는 일이 발생했다.

KT가 사건 이후 펨토셀에 대한 긴급 보안 업데이트를 실시했다고 하지만 안전성은 검증되지 않았다고 보안 업계는 지적한다. 보안 전문가들은 현재 KT 망에 접속된 펨토셀을 보안 회사나 외부 전문가에게 제공해 ‘루팅(최고 관리자 권한을 조작하는 행위)’이 불가능하다는 점을 공개 검증받아야 한다고 요구한다. 네이버의 이진규 CISO(최고정보보호책임자)도 최근 소셜미디어에 ‘김용대 교수님(KAIST)의 제언. 실행이 필요함’이라고 밝히면서 KT 펨토셀 안전성 검증 필요성에 동의한다는 입장을 밝혔다.

☞펨토셀(femtocell)

초소형 이동통신 기지국. 가정이나 사무실 등 실내 음영지역(전파 신호가 약한 지역)에서 통신망에 연결할 수 있게 설계된 장비. 4~16명이 동시에 접속할 수 있고 커버리지(작동 범위)는 반경 10~50m. 와이파이 공유기와 유사하게 생겼다.

김강한 기자

김강한 기자 - 조선일보

김강한 기자, , 최고의 조선일보 기자가 쓰는 뉴스를 1등 디지털뉴스 조선닷컴에서 지금 만나 보십시오.

www.chosun.com

----------------------------------------------------------------------------------------------------

KT's 240,000 Femtocells Share Single Authentication Key

Security Experts Demand External Verification After Large-Scale Breach Exposes National Infrastructure

보안 전문가들, 대규모 유출로 국가 인프라 노출 후 외부 검증 요구

By Kim Kang-han Published 2025.12.10. 01:01 The Chosun Daily Newspaper / 조선일보
​

View of KT headquarters in Gwanghwamun, Seoul. On September 23, 2025 /News1 ⓒ News1, Courtesy of Kim Myeong-seop
​
Security experts point out that the hacker group’s infiltration into KT’s network by targeting its femtocells (ultra-small base stations) was possible because KT initially managed the femtocells negligently.
​
The first issue was that KT had set the same authentication key for all 240,000 femtocells. Securing just one authentication key allowed access to the entire femtocell network. An authentication key is a type of password used to verify identity before entering a system or network—similar to needing a password to unlock a door and enter a house. According to an analysis by cybersecurity firm Theori, KT had not even set a separate password for the “root account,” a master key capable of unlocking all doors in a building. If hackers knew the root account, they could easily obtain the authentication key and connect to KT’s network by deploying fake femtocells. Essentially, KT had designed the femtocell security system to use a single master key instead of individual keys per device, and this master key was easily accessible, enabling the physical creation of hundreds of illegal femtocells. This is why the security industry views the incident as a large-scale eavesdropping attack on a national infrastructure network.
​
Earlier in April, a similar incident occurred in the Philippines, where a Chinese national was caught attempting to eavesdrop near an election commission office using an “IMSI, International Mobile Subscriber Identity, catcher,” a device that acts as a fake base station.
​
Although KT claims to have conducted an emergency security update for femtocells after the incident, the security industry argues that the system’s safety remains unverified. Experts demand that KT allow security companies or external professionals to test the currently connected femtocells to publicly verify that “rooting” (manipulating root account privileges) is impossible. Lee Jin-gyu, CISO (Chief Information Security Officer) of Naver, recently expressed agreement on social media, stating, “Professor Kim Yong-dae’s (KAIST) proposal needs to be implemented,” emphasizing the necessity of verifying KT femtocell safety.
​
☞Femtocell
​
An ultra-small mobile communication base station designed to connect to the network in indoor signal-shadow areas, such as homes or offices. It can support simultaneous connections for 4 to 16 people, with a coverage radius of 10 to 50 meters. It resembles a Wi-Fi router.
​
· This article has been translated by Upstage Solar AI.

21세기 영어교육연구회 / ㈜ 파우스트 칼리지

Phone : (02)386-4802 / (02)384-3348

E-mail : faustcollege@naver.com / ceta211@naver.com

Twitter : http://twitter.com/ceta21

Web-site : www.faustcollege.com (주)파우스트 칼리지

Cafe : http://cafe.daum.net/21ceta 21세기 영어교육연구회

Band : http://band.us/@ceta21 21세기 영어교육연구회

Blog : http://blog.naver.com/ceta211 21세기 영어교육연구회