2025년 9월, 국내 2위 통신사인 KT는 278개 고객사의 모바일 결제 시스템을 침해한 정교한 사이버 공격으로 인해 1억 7천만 원(122,400달러)의 무단 거래가 발생했다고 밝혔습니다. 금전적 손실은 비교적 크지 않은 것으로 보이지만, 이 공격의 기술적 정교함과 새로운 방법론은 매일 수십억 명이 의존하는 통신 기반 인증 시스템에 치명적인 취약점을 노출시켰습니다. 2,700만 명의 사용자에게 영향을 미친 SK텔레콤의 유출 사고 이후 불과 몇 달 만에 발생한 이번 사건은 휴대폰 기반 인증이 분산화된 대안으로 즉시 대체해야 하는 시스템적 보안 문제가 되었음을 보여줍니다.
KT의 펨토셀 공격은 새로운 위협 벡터를 나타냅니다.
KT 사건은 한국에서 최초로 문서화된 불법 펨토셀 공격 사례로, 기존의 보안 조치를 우회하는 무시무시한 공격 벡터를 소개합니다. 공격자들은 2025년 8월 6일부터 9월 8일 사이에 변종 펨토셀(일반적으로 실내 커버리지를 늘리는 데 사용되는 소형 셀룰러 기지국)을 배포하여 사용자 인증 프로세스를 가로채고 손상시켰습니다.
이 기술적 메커니즘은 엄청난 효과를 발휘했습니다. 공격자들은 중고 시장을 통해 표준 펨토셀 디바이스를 약 300만 원(2,200달러)에 구입한 후 펌웨어를 수정하여 통신사 인증 프로토콜을 우회했습니다. 이 악성 기지국은 KT 네트워크에 연결되면 반경 10미터 내에 있는 모바일 기기를 자동으로 캡처했습니다. 피해자의 휴대폰이 가장 강력한 신호로 보이는 신호에 연결되면, 침해된 펨토셀은 내부 복호화 작업을 거쳐 5,561명의 고객 IMSI(국제 모바일 가입자 식별) 번호와 SMS 인증 코드를 평문으로 가로챘습니다.
김용대 카이스트 교수는 이 취약점에 대해 설명했습니다: “이동통신은 휴대폰에서 펨토셀까지 암호화되어 있지만, 펨토셀은 내부적으로 메시지를 복호화합니다. 해커가 이 펨토셀을 제어하면 실시간으로 메시지를 가로채고 개인 정보를 탈취할 수 있다”고 설명했습니다. 공격자들은 주로 피해자가 부정 거래를 눈치채지 못하는 새벽 시간대에 서울과 경기 등 수도권에 집중적으로 활동했습니다. 이들은 모바일 상품권 구매와 교통카드 충전 등을 통해 체계적으로 계좌를 탈취했으며, 인증 수단으로 SMS 인증에만 의존하는 KT의 소액결제 시스템을 악용했습니다.
이 공격이 특히 우려되는 이유는 접근성 때문입니다. 지능형 지속 위협이나 제로데이 익스플로잇을 필요로 하는 정교한 국가 차원의 공격과 달리 펨토셀 공격은 쉽게 구할 수 있는 하드웨어와 기본적인 기술 지식을 활용했습니다. 고려대학교 임종인 교수는 펨토셀이 이렇게 쉽게 손상되었다면 “내부 통제 실패 가능성”을 시사하며 내부자 개입 또는 통신 장비의 부적절한 보안 프로토콜에 대한 의문을 제기한다고 지적했습니다.
국내 통신사, 인증 유출 사고에 직면하다
KT 사건은 현재 진행 중인 한국의 통신 보안 위기의 최신 장에 불과합니다. 침해 사고의 패턴을 보면 10년 이상 지속되어 온 시스템 취약성이 드러나며, 사고가 발생할 때마다 점점 더 심각한 인증 취약점이 노출되고 있습니다.
2025년 4월 발생한 SK텔레콤 침해 사고는 한국 역사상 가장 치명적인 통신 보안 사고로 기록될 가능성이 있습니다. 공격자들은 거의 3년 동안 (2022년 6월부터 2025년 4월까지) 탐지되지 않은 상태로 접속을 유지하여 2,700만 명의 전체 고객 기반을 침해했습니다. 레드 맨션, 위버 앤트, 솔트 타이푼 등 중국 APT 그룹으로 추정되는 위협 행위자들은 28개의 감염된 서버에서 BPFDoor 멀웨어 변종을 사용하여 IMSI 번호, USIM 인증 키, 25가지 종류의 가입자 정보를 탈취했습니다. 침해의 정교함과 지속성으로 인해 7,000억 원 규모의 복구 투자가 이루어졌고 전국적인 보안 검토가 이루어졌습니다.
과거의 사고 사례를 보면 문제가 되는 패턴이 드러납니다. KT는 2012년(870만 고객), 2014년(전체 고객의 75%에 해당하는 1,200만 고객), 2016년에 대규모 유출 사고를 겪었습니다. LG유플러스는 2023년에 30만 명의 고객에게 영향을 미치는 대규모 유출 사고가 발생했으며, 조사 결과 데이터베이스 관리자 비밀번호가 ‘admin’으로 설정되어 있고 접근 제어가 미흡한 것이 발견되어 68억 원의 과징금을 부과받았습니다. 2014년 발생한 다중 사업자 침해 사고는 SKT, KT, LG유플러스 등 주요 통신사 3곳에서 동시에 발생하여 총 1,230만 건의 기록이 유출되었으며, 업계 전반에서 조직적인 공격이 이루어졌음을 보여주었습니다.
이러한 사고는 탐지되지 않은 장기간의 접속, 인증 시스템 취약점 악용, 인증 자격 증명을 포함한 대규모 데이터 노출, 통신 사업자의 탐지 및 보고 지연이라는 공통된 특징을 가지고 있습니다. 모든 주요 사업자에 걸쳐 반복적으로 발생한다는 것은 이 문제가 개별 기업의 실패를 넘어 업계 전반의 인증 아키텍처의 구조적 취약성을 포괄하는 문제임을 나타냅니다.
모바일 인증 시스템에는 내재된 취약점이 있습니다.
휴대폰 기반 인증의 기반이 되는 기술 아키텍처는 정교한 공격자들이 일상적으로 악용하는 여러 공격 표면을 생성합니다. 이러한 취약점의 핵심은 다음과 같습니다. SS7(시그널링 시스템 7) 프로토콜는 1970년대에 만들어진 글로벌 통신 신호 표준으로, 설계상 인증과 암호화가 결여되어 있습니다. 미국 국토안보부의 평가는 극명합니다. “DHS는 모든 미국 통신사가 [SS7 및 Diameter] 익스플로잇에 취약하여 국가 안보, 경제 및 국가 필수 기능을 안정적으로 수행하는 연방 정부의 능력에 위험을 초래할 수 있다고 생각합니다.”
SS7 취약점은 실시간 위치 추적, 일회용 비밀번호의 SMS 가로채기, 통화 가로채기 및 도청, 서비스 거부 공격, 청구서 조작을 통한 가입자 사기 등 파괴적인 공격을 가능하게 합니다. 다크웹 시장에서 150~2,500달러에 구입할 수 있는 SS7 네트워크에 액세스하면 공격자는 이전에는 정보 기관에서만 사용할 수 있었던 기능을 사용할 수 있습니다. 범죄자들이 SS7 취약점을 이용해 계정을 탈취한 2017년 독일 은행 공격은 이러한 취약점이 이론적인 위험이 아니라 실제로 적극적으로 악용되고 있음을 보여주었습니다.
SIM 스와핑은 모바일 인증의 또 다른 중요한 취약점입니다. 프린스턴 대학교의 연구에 따르면 “미국 내 SIM 스왑 시도 5건 중 4건은 성공”하며, PayPal, Venmo, Amazon 등 17개 주요 웹사이트가 SIM 스왑만으로도 해킹에 취약한 것으로 나타났습니다. 이 공격은 통신사 고객 서비스를 소셜 엔지니어링하여 피해자의 번호를 공격자가 제어하는 SIM으로 전송하는 단순함에도 불구하고 그 효과는 매우 뛰어납니다. 2022년에 40명의 KT 고객이 심 스와핑 공격을 통해 2억 7천만 원의 암호화폐를 손실하여 직접적인 금전적 피해를 입었습니다.
베이스밴드 프로세서 익스플로잇은 또 다른 취약점 계층을 추가합니다. 셀룰러 통신을 처리하는 이 별도의 프로세서는 애플리케이션 프로세서보다 훨씬 덜 강화되어 있어 변조된 네트워크 패킷을 통해 원격 코드를 실행할 수 있는 기회가 생깁니다. Mobile Pwn2Own의 보안 연구원들은 10만 달러의 현상금이 걸린 베이스밴드 취약점을 시연하여 정교한 공격자가 낮은 수준의 네트워크 액세스를 통해 애플리케이션 수준의 보안을 완전히 우회할 수 있음을 증명했습니다.
한국 특유의 구현 방식은 이러한 취약점을 더욱 심화시킵니다. 온라인 서비스에서 필수인 본인인증(본인확인) 시스템은 통신사와 직접 통합되어 있으며 SMS 인증에 크게 의존하고 있습니다. 소액결제 시스템은 성인의 경우 월 최대 100만 원까지 거래할 수 있으며, 주로 SMS 코드와 간편 비밀번호를 통해 인증됩니다. 이처럼 중요한 인증을 통신 인프라에 과도하게 의존하다 보니 통신사가 해킹당할 경우 연쇄적인 장애 지점이 발생할 수 있습니다.
중앙 집중식 인증으로 치명적인 단일 장애 지점 발생
통신 기반 인증의 근본적인 결함은 기술적 취약성을 넘어 중앙 집중식 시스템에 내재된 구조적 문제까지 확장됩니다. 학계 연구에서는 중앙 집중식 인증이 위험한 단일 장애 지점을 발생시킨다고 일관되게 지적하고 있습니다. ACM 디지털 도서관 연구에서도 다음과 같이 지적합니다: “일반적으로 사용되는 중앙 집중식 신뢰와 중앙 집중식 ID 관리로 인해 정보 시스템과 조직은 단일 장애 지점이 발생하기 쉽습니다.”
소금 태풍 캠페인은 중앙 집중식 통신 인프라가 어떻게 국가적 행위자들의 전략적 표적이 되는지 잘 보여줍니다. 마크 워너 상원의원이 “콜로니얼 파이프라인과 솔라윈즈를 어린이 놀이처럼 보이게 하는 미국 역사상 최악의 통신 해킹”이라고 불렀던 이 캠페인은 Verizon, AT&T, T-Mobile을 포함한 최소 9개의 미국 통신 회사를 침해했습니다. 탐지되기 전 1~2년 동안 활동한 공격자들은 정부 감시를 위해 설계된 합법적인 감청 시스템에 액세스하여 해외 공격자들에게 아이러니하게도 완벽한 공격 벡터를 만들었습니다.
NIST의 공식 지침은 이러한 위험을 명시적으로 인정하고 있습니다. NIST SP 800-53 Control CP-8(2)에 따르면 조직은 “기본 통신 서비스와 단일 장애 지점을 공유할 가능성을 줄이기 위해 대체 통신 서비스를 확보해야 한다”고 명시되어 있습니다. 이 지침은 통신 제공업체가 물리적 인프라를 공유하는 경우가 많기 때문에 독립적으로 보이는 시스템에서 취약성 노출이 증가한다는 점을 인식하고 있습니다.
업계 분석 결과 중앙 집중식 시스템 장애의 일관된 패턴이 발견되었습니다. 인증이 중앙 집중식 인프라에 의존하는 경우, 서버가 손상되면 연결된 모든 시스템에 동시에 영향을 미칩니다. 네트워크 중단은 전체 사용자 집단에 걸쳐 인증 장애를 일으킵니다. 데이터베이스 침해로 인해 수백만 명의 사용자 인증 정보가 한꺼번에 노출되는 경우, 2,700만 명의 피해자가 발생한 SKT 사고에서 볼 수 있듯이 인증 실패는 사용자 전체에 영향을 미칩니다. 대규모 인증 요청을 처리할 때 성능 병목 현상이 발생하여 보안과 가용성 모두에 위험을 초래합니다.
탈중앙화 시스템과의 대조는 놀랍습니다. 분산 인증에 관한 IEEE의 연구 결과는 다음과 같습니다: “인증이 분산되어 있기 때문에 한 서버의 장애가 모든 사용자에게 영향을 미치지 않습니다. 시스템은 독립적으로 확장할 수 있어 중앙 서버에 부담을 주지 않고 더 많은 사용자나 요청을 처리할 수 있습니다. 한 서버가 손상된다고 해서 전체 네트워크가 위험해지는 것은 아닙니다.” 이러한 아키텍처의 장점은 이론적인 것이 아니라 통신 종속성을 완전히 없애는 새로운 인증 표준의 기반이 됩니다.
전문가 합의에 따라 SMS 기반 인증 포기 요구
전 세계 보안 전문가들은 통신 기반 인증은 반드시 폐기해야 한다는 데 압도적인 공감대를 형성하고 있습니다. 솔트 타이푼 공격 이후 CISA는 “SMS 및 음성 메시징 채널로부터의 마이그레이션”을 명시적으로 권장하고 기존 통신 대신 암호화된 메시징 앱을 사용하도록 권고하는 전례 없는 지침을 발표했습니다. 이는 SMS 기반 인증으로는 보안을 충분히 확보할 수 없다는 사실을 인정한 정부의 근본적인 입장 변화를 의미합니다.
브루스 슈나이더는 NIST의 SMS 인증 중단 시도에 대해 문서화하면서 업계의 압력으로 인해 입장을 완화했지만 “근본적인 보안 우려는 여전히 유효하다”고 지적했습니다. 연구 결과에 따르면 “SMS 2FA는 공격의 76%만 차단하며, 인증 시도의 거의 4분의 1이 침해에 취약한 것으로 나타났습니다. “ 라고 합니다.
140개 웹사이트의 인증 정책을 리버스 엔지니어링한 프린스턴 대학교의 연구는 광범위한 취약성에 대한 경험적 증거를 제공합니다. PayPal과 Amazon을 비롯한 주요 플랫폼이 “기본 구성에서” SIM 스왑 공격에 여전히 취약하다는 연구 결과는 정교한 기술 기업조차 통신 기반 인증 위험을 완화하는 데 어려움을 겪고 있다는 사실을 보여줍니다.
금융 업계 전문가들은 특히 긴급한 경고를 보냅니다. 다크트레이스 페더럴의 CEO인 마커스 파울러는 다음과 같이 설명합니다: “통신 업계는 새로운 공급업체를 영입해야 한다는 업계의 끊임없는 압박으로 인해 사이버 공격에 유독 취약합니다… 이렇게 추가된 써드파티 공급업체는 보안 위험을 가중시킵니다.” Traceable의 아얀 할더는 “SMS 요금 사기 및 2FA 하이재킹과 같은 통신 기반 공격이 최고 정보 보안 책임자의 주요 관심사로 발전했다”고 지적합니다.
주요 기술 기업들은 각자의 구현 방식에 따라 투표하고 있습니다. Microsoft는 SMS 기반 2FA에서 완전히 벗어나 “데스크톱용 Windows Hello 또는 모바일 디바이스용 Microsoft Authenticator 앱과 같은 암호 없는 기술”을 장려하고 있습니다. Google도 마찬가지로 하드웨어 보안 키와 앱 기반 인증을 선호하여 SMS를 더 이상 사용하지 않습니다. 업계 리더들의 이러한 변화는 보안에 민감한 조직에서 SMS 인증의 수명이 다했음을 의미합니다.
탈중앙화 인증으로 통신 종속성 제거
앞으로 나아가기 위해서는 중앙 집중식 통신 의존형 시스템에서 탈중앙화되고 암호화된 보안 대안으로 전환하는 근본적인 아키텍처의 변화가 필요합니다. 네트워크가 필요 없는 생체 인증 시스템으로 2025 CES 혁신상을 수상한 앤오픈의 SNAPPASS는 매력적인 접근 방식 중 하나입니다.
SNAPPASS는 완전한 네트워크 독립성이라는 혁신적인 원칙에 따라 작동합니다. 이 시스템은 원격으로 수정할 수 없는 AI에 최적화된 암호화된 생체 인식 데이터가 포함된 SNAPPIN 카드와 AI 기반 딥페이크 및 생체 인식 감지 기능을 갖춘 SNAPCHECK 인증 하드웨어로 구성됩니다. 인증은 사용자의 카드와 리더 사이에서 완전히 오프라인으로 이루어지며, 네트워크 연결 없이 분당 최대 60건의 인증을 처리합니다. 생체 인식 데이터는 중앙 데이터베이스에 저장되지 않으며 각 인증 시도 후에는 즉시 폐기됩니다.
이 아키텍처는 통신 기반 시스템의 모든 주요 취약점을 해결합니다. 네트워크 전송이 없으므로 SMS 가로채기나 SS7 공격의 가능성이 없습니다. 물리적 소유 요건은 원격 침해를 방지합니다. 로컬 처리로 단일 장애 지점을 제거합니다. 분산 아키텍처는 한 위치가 손상되더라도 다른 위치에 영향을 미치지 않도록 보장합니다. 생체 인식 구성 요소는 SIM 카드처럼 사회적으로 조작하거나 교체할 수 없는 강력한 인증을 추가합니다.
탈중앙화 인증 솔루션의 광범위한 생태계는 이러한 전환에 대한 시장의 준비성을 보여줍니다. 분산형 ID 시장은 2022년 6억 4780만 달러에서 2030년 4173억 달러로 예상되는 폭발적인 성장세를 보이고 있으며, 이는 최대 90.3%의 연평균 성장률(CAGR)에 해당합니다. Microsoft의 Entra Verified ID와 같은 블록체인 기반 시스템은 W3C 표준 분산형 식별자(DID)를 사용하여 사용자가 자신의 자격 증명을 제어할 수 있도록 합니다. FIDO2/WebAuthn 표준을 따르는 하드웨어 보안 키는 통신 의존성 없이 피싱 방지 인증을 제공합니다.
학계 연구에서도 이러한 접근 방식을 검증하고 있습니다. 네이처 사이언티픽 리포트는 블록체인 기반 인증이 “정부가 발급한 전자 신분증을 활용하여 디지털 서명을 생성하고 스마트 계약을 사용하여 인증 프로세스를 자동화”함으로써 보안과 사용성을 유지하면서 통신 인프라 요구 사항을 제거한다는 연구 결과를 발표했습니다.
통신 인증 시대는 이제 끝내야 합니다.
KT 소액결제 해킹은 금전적으로는 크지 않지만 인증 보안의 분수령이 된 사건입니다. 쉽게 구할 수 있는 펨토셀 하드웨어를 사용하여 인증 시스템을 손상시킨 이번 공격은 통신 기반 보안이 쉽게 뚫릴 수 있다는 것을 보여줍니다. 2,700만 명의 사용자에게 영향을 미친 SK텔레콤 침해 사고와 업계 전반의 지속적인 취약점을 고려하면, 통신 네트워크는 인증을 위해 신뢰할 수 없다는 사실을 부인할 수 없게 됩니다.
전문가들의 의견은 만장일치입니다. CISA와 같은 정부 기관은 명시적으로 SMS 인증을 포기할 것을 권장합니다. 학계 연구는 중앙 집중식 시스템의 근본적인 구조적 결함을 증명합니다. 보안 연구자들은 무서울 정도로 규칙적으로 공격을 성공시키고 있습니다. 주요 기술 기업들은 이미 통신에 의존하는 인증 방식에서 벗어나고 있습니다. 이제 문제는 더 이상 SMS 및 통신 기반 인증을 포기할지 여부가 아니라 조직이 얼마나 빨리 전환을 완료할 수 있느냐입니다.
앤오픈의 SNAPPASS와 같은 솔루션은 인증이 취약한 통신 인프라와 독립적으로 작동하는 미래를 지향합니다. 이러한 시스템은 물리적 소유, 생체 인증, 네트워크 없이 작동하는 방식을 결합하여 모든 종류의 공격을 차단하는 동시에 뛰어난 사용자 경험과 개인 정보 보호를 제공합니다. 탈중앙화된 신원 확인 시장이 2030년까지 417억 3천만 달러로 성장할 것으로 예상되는 것은 기업들이 이러한 필요성을 인식하고 그에 따라 투자하고 있다는 신호입니다.
KT 사건은 마지막 경고가 되어야 합니다. SMS 및 통신 기반 인증에 계속 의존하는 조직은 개별 보안 태세를 넘어 중요한 인프라와 국가 안보를 위협하는 치명적인 위험을 감수해야 합니다. 오늘날에는 이러한 취약점을 완전히 제거할 수 있는 기술이 존재합니다. 남은 문제는 조직이 완전히 예방할 수 있는 인증 침해의 다음 피해자가 되기 전에 조치를 취할 것인지 여부입니다.
탈중앙화 인증 시스템으로의 전환에 대해 자세히 알아보고자 하는 분들을 위해 앤오픈의 SNAPPASS 및 이와 유사한 네트워크 없는 솔루션은 통신 인증 실패의 근본 원인을 해결하는 즉각적이고 실행 가능한 대안을 제공합니다. 점진적인 개선의 시기는 지났으며, 미래의 인증은 탈중앙화되고 네트워크에 독립적이며 암호학적으로 안전해야 합니다. KT 해킹은 지연이 어떤 결과를 초래하는지 보여주었습니다. 앞으로 나아갈 길은 분명합니다.
