KT 유령 기지국 사건

KT 유령 기지국 사건

1. KT 유령 기지국 사건의 전모

1.1 사건의 정의와 핵심 쟁점 요약

본 보고서는 2025년 8월 말부터 대한민국 수도권 일부 지역에서 발생한 KT 가입자 대상 무단 소액결제 사건을 심층 분석한다. 이 사건은 공격자가 ’유령 기지국(Ghost Base Station)’으로 명명된 미상의 통신 중계 장비를 이용해 사용자 정보를 탈취한 것으로 추정되는, 국내 최초의 실질적 피해를 야기한 무선 액세스 네트워크(Radio Access Network, RAN) 계층 공격으로 규정한다.1 본 사건의 핵심 쟁점은 세 가지로 요약할 수 있다. 첫째, 사용자가 인지하지 못하는 사이 통신 연결 자체를 가로채는 공격이 성공함으로써 이동통신망의 가장 기본적인 신뢰 기반인 물리적 통신 인프라의 안전성이 붕괴될 수 있다는 가능성을 현실로 증명하였다. 둘째, 기존의 데이터센터 및 코어망 서버 중심의 보안 패러다임이 통신망의 최말단, 즉 ’엣지(Edge)’에서 발생하는 새로운 유형의 위협을 방어하는 데 명백한 한계를 노출했다는 점이다. 셋째, 국가 기간통신사업자인 KT의 초기 대응 과정에서 드러난 위기 소통의 불투명성과 기술적 원인 규명의 지연은 통신사의 보안 책임과 정보 공개 의무에 대한 사회적 논의를 재점화시켰다.

1.2 국내 통신 보안 역사상 이번 사건이 갖는 의미와 특수성

과거 국내에서 발생했던 대규모 통신사 해킹 사건들은 대부분 공격자가 방화벽이나 VPN 등 보안 시스템의 취약점을 뚫고 내부망에 침투한 뒤, 중앙 서버에 저장된 대규모 개인정보 데이터베이스를 유출하는 형태였다.3 2012년과 2014년의 KT 홈페이지 개인정보 유출 사건이나 2025년 SK텔레콤 유심 정보 유출 사고가 대표적인 예이다.3 이러한 공격은 ’저장된 데이터(Data at Rest)’를 탈취하는 방식이었다.

반면, 이번 KT 유령 기지국 사건은 공격의 성격과 벡터가 질적으로 다르다. 공격자는 통신망의 최전선인 RAN 단에서 사용자와 실제 기지국 사이의 통신 흐름에 직접 개입하였다. 이는 ’전송 중인 데이터(Data in Transit)’를 실시간으로 가로채는 중간자 공격(Man-in-the-Middle, MITM)에 해당한다. 사용자를 직접 기만하여 금융 피해를 유발했다는 점에서, 이는 공격 벡터가 중앙 집중형 서버에서 분산된 네트워크 ’엣지’로 이동하고 있음을 시사하는 중요한 변곡점으로 평가된다. 이 사건은 더 이상 통신망의 견고한 ‘성벽’ 내부만 지키는 것으로는 부족하며, 성벽 바깥에서 개별 사용자를 노리는 국지적이고 정밀한 공격에 대한 방어 체계가 시급함을 경고한다.

1.3 보고서의 구조와 분석 범위 제시

본 보고서는 총 7장에 걸쳐 KT 유령 기지국 사건의 다층적 측면을 심도 있게 분석한다. 제2장에서는 사건의 발생부터 정부의 공식 조사 착수까지의 경과를 시간 순으로 재구성하고, 피해의 지리적·시간적 특성과 공식 집계된 규모를 정밀하게 분석한다. 제3장에서는 ’유령 기지국’의 기술적 실체를 IMSI 캐처와 악성 펨토셀의 개념을 통해 해부하고, 이를 바탕으로 구체적인 공격 시나리오를 재구성하며 LTE 네트워크 프로토콜의 잠재적 취약점을 논한다. 제4장에서는 사건의 주요 이해관계자인 KT, 정부 및 수사기관의 대응과 사후 조치를 비판적으로 평가하고 사회·정치적 파장을 진단한다. 제5장에서는 최근 발생한 SKT 유심 해킹 사태와의 비교 분석을 통해 국내 통신망 보안 위협의 다변화 양상을 입체적으로 조명한다. 제6장에서는 단기, 중기, 장기적 관점에서 사용자, 통신사업자, 정부가 각각 실행해야 할 종합적인 재발 방지 대책을 구체적으로 제언한다. 마지막으로 제7장에서는 본 사건이 국가 통신 인프라 보안에 던지는 근본적인 교훈을 종합하고, 미래 통신 환경에 필수적인 ‘제로 트러스트(Zero Trust)’ 보안 패러다임으로의 전환 필요성을 역설하며 결론을 맺는다. 분석은 제공된 언론 보도, 전문가 의견, 관련 기술 문헌을 기반으로 하며, 단순 사실 나열을 넘어 각 정보의 상호 연관성과 이면에 숨겨진 전략적 함의를 해석하는 데 중점을 둔다.

2. 사건 현황 및 피해 규모 정밀 분석

2.1 사건 발생 타임라인

이번 KT 유령 기지국 사건은 2025년 8월 말 최초 피해가 발생한 이후, 언론 보도를 통해 공론화되고 정부의 공식 조사가 시작되기까지 약 2주에 걸쳐 전개되었다. 주요 경과는 다음과 같다.

  • 2025년 8월 27일 ~ 9월 5일: 사건의 시작점으로, 경기 광명시 소하동·하안동과 서울 금천구 일대의 특정 아파트 단지를 중심으로 KT 및 KT망을 사용하는 알뜰폰(MVNO) 가입자들에게서 무단 소액결제 피해가 집중적으로 발생했다.6 피해자들은 대부분 새벽 시간대에 자신도 모르게 수십만 원 상당의 모바일 상품권 구매나 교통카드 충전이 이루어졌다고 신고했다.5

  • 9월 5일: 피해 사실이 확산되자 KT는 비정상적인 소액결제 시도를 차단하는 시스템적 조치를 시행했다고 밝혔다.8 이와 함께 추가 피해를 최소화하기 위해 결제대행사(PG)와 협의하여 상품권 판매 업종의 소액결제 한도를 일시적으로 축소하는 조치를 취했다.9

  • 9월 8일: KT는 내부 조사를 통해 ’유령 기지국’의 존재 가능성을 인지하고, 정보통신망법에 따라 오후 7시 16분경 과학기술정보통신부(이하 과기정통부)와 한국인터넷진흥원(KISA)에 사이버 침해사고를 공식적으로 신고했다.10

  • 9월 9일: 정부의 공식 대응이 시작되었다. 과기정통부는 사안의 중대성을 고려하여 정보보호네트워크정책관을 단장으로 하는 민관합동조사단을 구성하고, 신속한 원인 규명을 위해 현장 조사에 착수한다고 발표했다.12 동시에 경찰은 광명경찰서, 금천경찰서 등 각 관할서에 접수된 사건을 병합하여 경기남부경찰청 사이버수사대를 중심으로 수사전담팀을 확대 편성하고 본격적인 수사에 돌입했다.14

2.2 피해 특성 분석

이번 사건의 피해 양상은 기존의 무작위적인 스미싱이나 피싱 범죄와는 뚜렷하게 구별되는 몇 가지 특징을 보인다.

  • 지리적 집중성: 가장 두드러진 특징은 피해가 전국적으로 분산되지 않고, 경기 광명시 소하동·하안동, 서울 금천구, 부천시 괴안동 등 매우 협소한 특정 지역, 심지어는 특정 아파트 단지 내에서 집중적으로 발생했다는 점이다.15 광명의 한 아파트에서는 다수의 피해자가 동시에 나오기도 했다.6 이러한 현상은 공격 장비가 특정 위치에 물리적으로 설치되어 제한된 신호 도달 범위(Radius) 내의 가입자들만을 표적으로 삼았음을 강력하게 시사한다. 이는 단순한 원격 해킹을 넘어, 공격자가 사전에 인구 밀도, KT 가입자 비율, 전파 환경 등을 면밀히 분석하여 최적의 공격 지점을 선정한 후 물리적으로 접근하여 장비를 설치했을 가능성을 보여준다. 즉, 이번 공격은 사이버 공간에서의 행위와 물리적 공간에서의 행위가 결합된 ’사이버-물리 융합 공격(Cyber-Physical Attack)’의 초기 형태로 볼 수 있으며, 이는 통신사의 보안 관리 범위가 데이터센터와 네트워크 코어를 넘어 수많은 기지국과 중계기가 설치된 물리적 공간 전체로 확장되어야 함을 의미한다.

  • 시간적 패턴: 피해 대부분이 사용자의 활동이 뜸하고 즉각적인 인지가 어려운 새벽 시간대에 집중되었다.17 이는 공격자가 피해자의 대응을 회피하고 범행 성공률을 극대화하기 위해 치밀하게 계획했음을 보여주는 대목이다.

  • 피해 유형: 공격은 휴대전화 소액결제 시스템을 통해 이루어졌으며, 주로 모바일 상품권, 문화상품권 구매 또는 교통카드 충전 등 추적이 어렵고 현금화가 용이한 디지털 자산을 탈취하는 방식으로 진행되었다.7 특히 주목할 점은 피해자들이 공통적으로 악성 링크를 클릭하거나 의심스러운 애플리케이션을 설치한 적이 없다고 일관되게 진술했다는 점이다.7 이는 범행이 사용자의 부주의를 이용하는 사회공학적 기법이 아닌, 통신망 자체의 취약점을 직접 공략하는 기술적 해킹을 통해 이루어졌음을 뒷받침한다.

2.3 공식 피해 규모 집계

사건 발생 초기부터 언론 보도와 경찰 발표를 통해 집계된 피해 규모는 점차 증가하는 추세를 보였다. 9월 9일을 기준으로 경찰 및 관련 기관의 발표를 종합하면, 공식적으로 확인된 피해 건수는 최소 74건 이상이며, 피해액은 약 5,000만 원에 육박하는 것으로 파악되었다.14 구체적으로 광명경찰서에 접수된 피해액이 약 3,800만 원, 금천경찰서가 약 780만 원, 부천 소사경찰서가 약 411만 원 등이었다.18

이 수치는 경찰에 정식으로 신고되거나 KT 고객센터를 통해 접수된 사례를 기반으로 한 것이므로, 피해 사실을 인지하지 못했거나 신고하지 않은 경우까지 고려하면 실제 피해 규모는 공식 집계보다 더 클 가능성이 있다. 이에 대해 KT는 사건 인지 후 피해를 접수한 고객들에게 금전적 손실이 발생하지 않도록 전액 보상하겠다는 방침을 신속하게 밝혔다.17

2.3.1 표 1: KT 유령 기지국 사건 주요 경과 및 피해 현황 요약

일자주요 경과피해 현황 (누적)주요 대응 주체 및 조치관련 자료
2025-08-27경기 광명, 서울 금천 등에서 최초 피해 발생피해액 1,700만 원 이상 (초기 집계)경찰, 개별 사건 수사 착수5
2025-09-05피해 확산 및 언론 보도 본격화피해자 56명, 피해액 2,000만 원 이상KT: 비정상 소액결제 차단 조치, 상품권 등 결제 한도 축소6
2025-09-08KT, 과기정통부에 사이버 침해사고 공식 신고피해자 74명, 피해액 4,580만 원KT: 공식 신고 / 경찰: 경기남부청으로 사건 병합, 수사 확대10
2025-09-09정부, 민관합동조사단 구성 발표피해액 약 5,000만 원 육박과기정통부: 민관합동조사단 현장 조사 착수12

이 표는 사건의 전개 과정을 요약하며, 특히 피해 발생 시점과 통신사 및 정부의 공식 대응 시점 간의 시간적 격차(time lag)를 명확히 보여준다. 이는 향후 유사 사건 발생 시 보다 신속하고 체계적인 초기 대응 프로토콜 구축의 필요성을 시사하는 중요한 자료가 된다.

3. ’유령 기지국’의 기술적 원리 및 공격 시나리오 심층 분석

3.1 가짜 기지국(Rogue Base Station)의 개념

언론에서 통칭하는 ’유령 기지국’은 기술적 실체에 따라 크게 두 가지 유형으로 추정할 수 있다. 바로 **IMSI 캐처(IMSI Catcher)**와 **악의적으로 변조된 펨토셀(Malicious Femtocell)**이다. 이 두 장비는 합법적인 기지국을 위장하여 주변 단말기의 접속을 유도한다는 공통점을 가지지만, 작동 원리와 공격의 정교함에서 차이를 보인다.

  • IMSI 캐처 (IMSI Catcher): 이 장비는 본래 수사기관이나 정보기관에서 특정인의 위치를 추적하거나 통신을 감청할 목적으로 사용된다. IMSI 캐처는 주변의 합법적인 기지국보다 더 강한 신호를 송출하여 휴대폰이 자신에게 접속하도록 유도한다. 일단 접속이 이루어지면, 단말기의 고유 식별 정보인 IMSI(International Mobile Subscriber Identity)와 단말기 식별 번호인 IMEI(International Mobile Equipment Identity)를 수집할 수 있다.21 초기 2G 네트워크는 단말기가 기지국을 인증하는 절차가 없는 단방향 인증의 취약점을 가지고 있어 IMSI 캐처 공격에 매우 취약했다.22 4G LTE 환경에서는 단말기와 기지국 간 상호 인증이 도입되어 보안이 강화되었지만, 공격자는 ’다운그레이드 공격(Downgrade Attack)’을 통해 강제로 통신 방식을 보안이 취약한 2G나 3G로 전환시켜 정보를 탈취할 수 있다.23 이번 사건의 대처법으로 ‘2G 서비스 허용’ 기능을 비활성화하는 방안이 제시된 것은 이러한 공격 가능성을 염두에 둔 것이다.5

  • 악성 펨토셀 (Malicious Femtocell): 펨토셀은 가정이나 사무실 등 전파 음영 지역의 통신 품질을 개선하기 위해 설치하는 초소형 기지국이다.24 펨토셀은 사용자의 유선 인터넷 회선(Broadband)을 백홀(Backhaul)로 사용하여 통신사의 코어 네트워크에 연결된다.25 공격자가 시중에서 판매되는 펨토셀 장비의 펌웨어를 해킹하여 악의적인 코드를 심거나44, 직접 악성 펨토셀을 제작하여 운영할 경우, 이는 IMSI 캐처보다 훨씬 더 강력한 공격 도구가 된다. 악성 펨토셀에 접속한 단말기의 모든 음성 통화, 문자 메시지, 데이터 트래픽은 공격자가 통제하는 인터넷 회선을 거치게 되므로, 암호화되지 않은 모든 통신 내용을 가로채거나 조작하는 완벽한 중간자 공격(MITM)이 가능해진다.26

이번 사건에서 KT가 자체 조사 결과 “KT가 관리하는 것이 아닌 미상의 기지국 ID“에 접속한 통화 이력을 발견했다고 밝힌 점은 매우 중요한 단서다.28 이는 공격자가 단순히 전파를 방해하는 재밍(Jamming) 공격을 넘어, KT의 네트워크 시스템이 일시적으로나마 ’정상적인 기지국’으로 인식하고 로그를 남길 만큼 정교하게 프로토콜을 위장했음을 의미한다. 공격자는 KT 기지국의 식별자(Cell ID, eNB ID) 체계와 무선 프로토콜을 사전에 면밀히 분석하여, 시스템상으로는 유효해 보이지만 실제로는 존재하지 않는 가짜 ID를 생성해 사용했을 가능성이 높다. 이는 단순한 장비 구매 및 설치를 넘어, 특정 통신사(KT)의 네트워크 아키텍처에 대한 깊은 이해와 사전 연구가 필요한 고도의 지능형 공격임을 시사한다. 범죄 조직 내에 통신 기술 전문가나 내부 정보에 접근 가능한 조력자가 개입했거나, 다크웹 등에서 거래되는 통신사 네트워크 관련 기술 정보가 활용되었을 가능성도 배제할 수 없다.

3.2 공격 시나리오 재구성

수집된 정보들을 바탕으로 이번 사건의 공격 시나리오를 3단계로 재구성하면 다음과 같다.

  • 1단계 (설치 및 유인 - Luring): 공격자는 사전에 목표로 선정한 아파트 단지 등 인구 밀집 지역의 고층이나 외진 곳에 강력한 신호를 송출하도록 조작된 가짜 기지국(IMSI 캐처 또는 악성 펨토셀)을 물리적으로 설치한다. 이 장비는 주변의 합법적인 KT 기지국보다 의도적으로 더 강한 신호 세기(RSSI, Received Signal Strength Indication)를 방출한다. 스마트폰은 배터리 소모를 줄이고 최상의 통화 품질을 유지하기 위해 항상 가장 강한 신호를 보내는 기지국에 우선적으로 접속하려는 알고리즘(Cell Selection/Reselection)을 따르므로, 공격 범위 내에 있는 피해자들의 단말기는 자신도 모르는 사이에 자동으로 가짜 기지국에 접속(attach)하게 된다.

  • 2단계 (인증 정보 탈취 - Interception): 피해자의 단말기가 가짜 기지국에 접속하는 순간, 공격자는 통신 내용을 가로채기 시작한다. 여기서 두 가지 주요 가설을 상정할 수 있다.

  • 가설 A (다운그레이드 공격): 가짜 기지국은 단말기에 ‘LTE 서비스 불가’ 신호를 보내거나 고의로 접속을 거부하는 등의 방법으로, 단말기가 대체 통신망을 찾도록 유도한다. 이 과정에서 보안이 강화된 4G LTE 대신 암호화가 없거나 매우 취약한 2G(GSM) 네트워크로 통신 방식을 강제로 격하시킨다. 2G 환경에서는 소액결제 시 전송되는 SMS 인증번호가 평문(Plaintext)으로 오고 가기 때문에, 공격자는 이를 손쉽게 가로챌 수 있다.

  • 가설 B (LTE 프로토콜 취약점 공격): 공격자가 더 높은 기술력을 보유했다면, 4G LTE 환경을 유지하면서도 프로토콜의 특정 취약점을 공격했을 수 있다. 예를 들어, 사용자 데이터(User Plane)는 암호화되지만, 일부 제어 메시지(Control Plane)의 암호화가 미흡한 점을 악용하거나, 암호화 키 교환 과정에 개입하여 통신 내용을 복호화했을 가능성이다. 이를 통해 소액결제 시 발생하는 SMS 인증 문자를 실시간으로 탈취한다.

  • 3단계 (범행 실행 - Exploitation): 공격자는 2단계에서 탈취한 단말기 정보(전화번호 등)와 실시간으로 가로챈 SMS 인증번호를 확보한다. 이후, 별도의 PC나 다른 단말기를 이용하여 온라인 쇼핑몰 등에서 해당 전화번호로 소액결제를 시도한다. 결제 업체에서 인증번호를 요구하는 SMS를 발송하면, 이 SMS는 가짜 기지국을 거치게 되므로 공격자가 즉시 내용을 확인할 수 있다. 공격자는 이 인증번호를 결제창에 입력하여 최종적으로 인증을 완료하고, 모바일 상품권 등을 구매하여 범행을 완수한다. 이 모든 과정은 피해자가 잠든 심야 시간대에 신속하게 이루어져, 피해자가 다음 날 요금 청구서를 확인하기 전까지는 범행 사실을 인지하기 어렵게 만든다.

3.3 LTE 네트워크 프로토콜의 잠재적 취약점 분석

이번 사건은 2G/3G에 비해 보안성이 대폭 강화되었다고 알려진 4G LTE 네트워크 역시 특정 조건 하에서는 여전히 공격에 노출될 수 있음을 보여준다. LTE 프로토콜의 잠재적 취약점은 다음과 같다.

  • 상호 인증의 시점 문제: LTE는 단말기(UE)와 네트워크(MME) 간 상호 인증(Mutual Authentication)을 통해 보안을 강화했다. 하지만 이 과정은 단말기가 기지국(eNodeB)에 접속을 시도하고 초기 RRC(Radio Resource Control) 연결 설정이 이루어진 이후에 본격적으로 수행된다. 공격자는 이 초기 접속 단계에서 주고받는 시스템 정보 브로드캐스트(System Information Broadcast)나 페이징(Paging) 메시지 등의 프로토콜 허점을 이용하여, 완전한 인증이 완료되기 전에 단말기를 기만하거나 제한적인 정보를 탈취할 수 있다.22

  • 제어 평면 메시지의 보안 미흡: 사용자 데이터가 전송되는 사용자 평면(User Plane)은 암호화(Encryption)와 무결성 보호(Integrity Protection)가 적용되지만, 통신 세션을 설정하고 관리하는 제어 평면(Control Plane)의 일부 메시지는 암호화가 선택 사항이거나 적용되지 않는 경우가 있다.29 공격자는 암호화되지 않은 제어 메시지를 분석하여 사용자의 위치를 추적하거나, 악의적인 제어 메시지를 주입하여 특정 사용자의 통신을 차단하는 서비스 거부(DoS) 공격을 감행할 수 있다.22 이번 사건은 이러한 제어 평면의 취약점을 넘어, 사용자 평면의 데이터(SMS)까지 탈취했을 가능성을 시사한다는 점에서 더욱 심각하다.

  • 물리 계층의 취약성: 모든 무선 통신은 근본적으로 ’공기’라는 공유 매체를 통해 이루어진다. 이는 누구나 적절한 장비만 있으면 신호를 수신하고, 더 강한 신호를 송출하여 합법적인 신호를 압도할 수 있다는 물리적 한계를 내포한다. 아무리 상위 계층의 프로토콜이 암호화로 보호된다 하더라도, 공격자가 물리 계층에서 신호를 장악하고 단말기를 가짜 기지국으로 유인하는 것 자체를 원천적으로 막기는 어렵다. 따라서 기지국의 신호를 지속적으로 모니터링하고 위조된 신호를 탐지하는 물리 계층 보안(Physical Layer Security) 기술의 중요성이 부각된다.

4. 주요 이해관계자별 대응 및 사후 조치 평가

4.1 KT의 위기 대응 평가

국가 기간통신사업자로서 KT의 이번 사건 대응은 긍정적 측면과 부정적 측면이 혼재된 복합적인 평가를 받는다.

  • 초기 대응 및 투명성: 최초 피해가 8월 27일부터 발생했음에도 불구하고, KT가 공식적인 시스템 차단 조치를 시행한 것은 9월 5일이었다.8 약 일주일간의 시간적 공백이 존재했으며, 이 기간 동안 피해가 확산되었을 가능성이 있다. 더욱이, 사건 초기 KT는 “개인정보 해킹 정황은 없는 것으로 확인했다“고 발표하며 사태의 심각성을 축소하려는 듯한 태도를 보였다.17 이는 내부적으로 ’미상의 기지국’이라는 심각한 보안 침해 정황을 파악하고 있었던 사실 28과 배치되는 것으로, 위기 상황에서 정보를 투명하게 공개하고 고객과 소통하려는 노력이 부족했다는 비판을 피하기 어렵다. 신속하고 정확한 정보 공개는 추가 피해를 막고 고객의 불안을 해소하는 위기관리의 핵심 요소라는 점에서 아쉬움이 남는다.

  • 기술적 조치: KT는 9월 5일부터 비정상적인 결제 패턴을 탐지하는 시스템을 강화하고, 현금화가 용이한 상품권 등 특정 업종에 대한 소액결제 한도를 일시적으로 축소하는 조치를 취했다.9 이는 추가적인 금전 피해 확산을 막기 위한 긴급 조치로서 시의적절하고 유효한 대응이었다고 평가할 수 있다. 그러나 이는 증상에 대한 처방일 뿐, 근본 원인인 가짜 기지국의 탐지 및 무력화, 그리고 이를 가능하게 한 네트워크의 구조적 취약점 개선에 대한 구체적인 기술적 대책은 즉각적으로 제시되지 못했다.

  • 피해 보상: KT는 피해 사실이 접수된 고객에 대해 피해액을 전액 보상하겠다는 방침을 신속하게 결정하고 발표했다.17 이는 고객 피해를 최소화하고 기업의 사회적 책임을 다하려는 긍정적인 노력으로 평가된다. 그러나 보상은 어디까지나 사후 조치일 뿐이며, 사전에 이와 같은 공격을 예방하지 못한 책임으로부터 자유로울 수는 없다.

4.2 정부 및 수사기관의 역할

이번 사건은 전례 없는 공격 수법으로 인해 정부와 수사기관의 신속하고 전문적인 개입이 요구되었다.

  • 민관합동조사단 구성: 과기정통부와 KISA가 KT의 공식 신고 접수 직후, 이동통신 및 네트워크 보안 분야의 민간 전문가를 포함한 민관합동조사단을 구성하여 현장 조사에 착수한 것은 매우 적절한 조치였다.13 이는 정부가 사안의 심각성을 인지하고, 단순한 행정 조사를 넘어 기술적 원인을 명확히 규명하겠다는 의지를 보여준 것이다. 과거 2025년 4월 SKT 해킹 사태 당시에도 유사한 조사단이 운영된 바 있으며, 통상적으로 조사 결과가 나오기까지 1~2개월이 소요될 것으로 예상된다.32 조사단의 핵심 과제는 공격에 사용된 장비와 수법을 정확히 재현하고, 이를 가능하게 한 KT 통신망의 프로토콜상, 혹은 운영상의 취약점이 무엇이었는지를 명백히 밝혀내어 근본적인 재발 방지 대책의 토대를 마련하는 것이다.

  • 경찰의 수사 확대: 초기 각 경찰서에서 개별적으로 진행되던 수사를 경기남부경찰청이 병합하여 사이버수사대를 중심으로 전담팀을 확대한 것은 범죄의 중대성과 광역성을 고려한 올바른 판단이다.5 수사의 관건은 크게 두 가지다. 첫째, 범행 현장 주변의 CCTV 분석, 전파 탐지 등 과학수사를 통해 가짜 기지국 장비를 물리적으로 설치하고 운영한 범인을 특정하는 것이다. 둘째, 단순 실행범을 넘어 배후에 조직적인 범죄 집단이 있는지, 그리고 이들이 어떻게 고도의 통신 해킹 기술과 장비를 확보했는지 그 전모를 밝혀내는 것이다.

4.3 사회·정치적 파장

이번 사건은 기술적 문제를 넘어 사회 전반에 상당한 파장을 일으켰다.

  • 국회 차원의 대응: 전례 없는 통신망 해킹 사건인 만큼, 국회 과학기술정보방송통신위원회(과방위)에서 KT 관계자를 출석시켜 현안을 질의하거나, 10월 국정감사의 주요 의제로 다룰 가능성이 매우 높다.8 이 과정에서 통신사의 보안 투자 현황, 정부의 관리·감독 실태, 관련 법규의 미비점 등이 집중적으로 논의될 것이며, 이는 향후 통신사의 보안 책임을 법적, 제도적으로 강화하는 입법 활동으로 이어지는 중요한 계기가 될 수 있다.

  • 소비자 신뢰도 하락 및 불안감 증폭: SKT의 대규모 유심 정보 유출 사태가 발생한 지 불과 몇 달 만에 또다시 KT에서 심각한 보안 사고가 터지면서, 국내 통신 인프라 전반에 대한 국민적 불신과 불안감이 극에 달했다.34 과거의 해킹이 개인정보 ’유출’에 그쳤다면, 이번 사건은 나의 통신 ‘연결’ 자체가 실시간으로 도청당하고 조작될 수 있다는 사실을 보여주었기 때문에 소비자가 느끼는 위협의 강도는 훨씬 직접적이고 크다. 이는 통신 서비스의 가장 기본적인 가치인 ’신뢰’와 ’안전’에 근본적인 균열을 가져온 사건으로 기록될 것이다.

이러한 상황은 정부의 통신 분야 보안 규제와 통신사들의 보안 투자가 현실의 위협을 따라가지 못하고 있다는 구조적 문제를 드러낸다. 최근 정부는 통신사의 보안 계획 제출을 의무화하고 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증 기준을 강화하는 등 규제를 개선하고 있다.35 통신 3사 역시 향후 5년간 2조 4,000억 원 규모의 보안 투자를 약속한 바 있다.37 그러나 SKT 해킹 사건에서 ISMS-P 인증을 획득했음에도 불구하고 핵심 서버 해킹을 막지 못한 사례에서 보듯 36, 현재의 규제가 ’서류상의 보안’에 그칠 수 있다는 비판이 제기된다. 이번 KT 사건은 기존의 서버, 데이터베이스, 네트워크 장비 중심의 점검 항목만으로는 RAN 환경에서 발생하는 신종 물리적, 프로토콜적 위협을 방어하기 어렵다는 점을 명백히 보여주었다. 이는 정부의 규제 프레임워크가 단순히 투자액을 늘리거나 점검 항목을 추가하는 수준을 넘어, 실제 공격 시나리오를 기반으로 한 실전적인 모의 훈련(Red Teaming)을 의무화하고, 무선 환경에 대한 상시적인 이상 신호 탐지 및 대응 체계 구축을 강제하는 등 보다 실효성 있는 방향으로 전면 개편되어야 함을 시사한다.

5. 국내 통신망 해킹 사례 비교 분석: SKT 유심 해킹 사태와의 비교를 중심으로

KT 유령 기지국 사건의 본질과 심각성을 정확히 이해하기 위해서는, 불과 몇 달 전에 대한민국 사회에 큰 충격을 안겨준 SK텔레콤 유심 해킹 사태와 비교 분석하는 것이 필수적이다. 두 사건은 모두 국가 기간통신망의 보안이 뚫렸다는 공통점을 갖지만, 공격 벡터, 피해 유형, 파급력 등 여러 측면에서 극명한 차이를 보인다.

5.1 공격 벡터 비교

  • KT 유령 기지국 사건: 이 사건의 공격 벡터는 RAN(무선 액세스 네트워크), 즉 통신망의 ’엣지(Edge)’에 집중되었다. 공격자는 물리적인 가짜 기지국 장비를 특정 지역에 설치하여, 외부에서 사용자와 기지국 간의 무선 신호를 직접 가로채는 ‘외부-가로채기(Outside-in Interception)’ 방식을 사용했다. 이는 네트워크의 최전선에서 사용자를 직접 노리는 공격이다.

  • SKT 유심 해킹 사건: 반면 SKT 사건은 공격자가 VPN 시스템의 취약점을 통해 통신사 내부망으로 침투한 뒤, 가입자 인증 정보의 핵심을 보관하는 **HSS(Home Subscriber Server)**를 직접 해킹한 사례다.3 이는 네트워크의 가장 깊숙한 ’코어(Core)’를 공격하여 데이터를 탈취한 전형적인

‘내부-탈취(Inside-out Exfiltration)’ 방식이다.

5.2 피해 유형 및 파급력 비교

  • KT 사건: 피해는 탈취한 인증 정보를 이용한 실시간 소액결제로, 즉각적이고 직접적인 금전 손실로 나타났다.5 피해 범위는 공격 장비가 설치된 특정 지역으로 한정되었으나, 공격이 지속되는 동안 반복적인 피해가 발생할 수 있었다. 잠재적 위협보다는 현재 진행형의 실질적 피해가 핵심이었다.

  • SKT 사건: 이 사건에서는 유심 복제에 필요한 핵심 인증키(Ki) 값과 IMSI 등 민감한 인증 정보가 2,500만 명에 달하는 가입자를 대상으로 대량 유출되었다.3 당장의 금전 피해는 보고되지 않았으나, 유출된 정보가 악용될 경우 복제폰을 이용한 금융사기(심 스와핑), 신원 도용을 통한 2차 범죄 등

잠재적이고 장기적인 위협의 파급력이 훨씬 크다.40 피해 대상이 사실상 전 가입자에 가까워 사회 전반에 미친 충격과 불안감은 KT 사건과 비교할 수 없을 정도로 컸다.41

5.3 기업 대응 방식 비교

  • KT: 사태 초기 원인 규명에 혼선을 겪고 정보 공개에 소극적이라는 비판을 받았으나, 피해를 입은 특정 고객들을 대상으로 한 전액 보상 방침은 비교적 신속하게 결정하고 발표했다. 이는 피해 범위가 명확하고 제한적이었기에 가능했던 측면도 있다.

  • SKT: 초기 사고 인지 후 언론 보도가 나오기까지 나흘간 공지를 지연했으며, 최초 공지 역시 전체 문자 발송이 아닌 자사 홈페이지(T월드)에 게시하는 소극적인 방식을 택해 고객들의 거센 비판을 받았다.41 이후 전 가입자 대상 유심 무료 교체라는 전례 없는 대책을 내놓았지만, 막대한 교체 물량을 감당하지 못해 현장 혼란을 야기하며 미숙한 위기관리 능력을 드러냈다.42

이러한 다각적인 비교는 국내 통신망을 위협하는 공격이 단일한 형태가 아니라, 네트워크의 어느 계층을 공격하느냐에 따라 전혀 다른 양상으로 전개된다는 핵심적인 사실을 보여준다. ‘유령 기지국’ 공격이 특정 부위를 정밀하게 타격하는 ’외과적 수술’과 같다면, ’유심 해킹’은 시스템 전체를 위협하는 ’치명적인 내상’에 비유할 수 있다. 이는 향후 통신망 보안 전략 수립 시, 코어 네트워크의 방어뿐만 아니라 엣지 단의 무선 구간에 대한 방어까지 모두 아우르는 다층적 방어(Defense-in-Depth) 체계 구축이 왜 필수적인지를 역설하는 강력한 근거가 된다.

5.3.1 표 2: KT 유령 기지국 사건 vs. SKT 유심 해킹 사건 비교 분석

구분KT 유령 기지국 사건SKT 유심 해킹 사건관련 자료
공격 벡터RAN (무선 액세스 턱세스 네트워크)코어 네트워크 (HSS 서버)3
주 공격 대상특정 지역 내 불특정 가입자SKT 및 망 이용 MVNO 전체 가입자7
공격 방식외부-가로채기 (가짜 기지국 이용 MITM)내부-탈취 (내부망 침투 후 데이터 유출)2
피해 유형실시간 소액결제 (직접적 금전 피해)유심 인증 정보 대량 유출3
피해 규모약 74건, 5,000만 원 (9/9 기준)2,500만 명 가입자 정보14
잠재적 위협공격 장비 이동 시 추가 피해 발생심 스와핑, 복제폰, 2차 금융 범죄, 신원 도용1
기업 초기 대응원인 규명 지연, 소극적 정보 공개 후 전액 보상 발표공지 지연, 소극적 안내 후 전 가입자 유심 교체 발표17
핵심 교훈RAN 및 물리 계층 보안의 중요성 대두코어망 및 내부 시스템 접근 통제 강화의 시급성4

6. 재발 방지를 위한 종합 대책 및 제언

KT 유령 기지국 사건은 더 이상 기존의 보안 방식으로는 진화하는 위협에 대응할 수 없음을 명백히 보여주었다. 재발 방지를 위해서는 단기적인 사용자 조치부터 통신사업자의 중장기적 기술 투자, 그리고 정부의 제도적 개선에 이르는 다층적이고 종합적인 접근이 필수적이다.

6.1 단기적 대책 (사용자 관점)

사용자 개개인이 통신망 자체의 취약점을 막을 수는 없지만, 피해를 최소화하고 예방하기 위해 즉시 실행할 수 있는 방어적 조치들이 있다.

  • 소액결제 서비스 관리: 가장 효과적이고 즉각적인 방법은 소액결제 서비스를 자신의 소비 패턴에 맞게 관리하는 것이다. 소액결제를 전혀 사용하지 않는다면 통신사 고객센터나 앱을 통해 서비스를 원천적으로 차단하는 것이 가장 안전하다.5 만약 서비스를 이용해야 한다면, 결제 한도를 필요한 만큼만 최소한으로 설정하고 사용 후에는 다시 차단하거나 한도를 낮추는 습관을 들이는 것이 바람직하다.

  • 스마트폰 보안 설정 강화: 이번 사건에서 다운그레이드 공격 가능성이 제기된 만큼, 안드로이드 스마트폰 사용자는 보안 설정을 강화할 필요가 있다. ‘설정 → 보안 및 개인정보 보호 → 보안 위험 자동 차단’ 기능을 활성화하여 최대 수준으로 설정하면, 비정상적인 네트워크 접속 시도를 일부 차단하는 데 도움이 될 수 있다.5 또한, 최신 안드로이드 OS(15 이상)에서는 ‘모바일 네트워크’ 설정에서 ‘2G 서비스 허용’ 옵션을 비활성화하여 2G 망으로의 강제 전환 공격을 원천적으로 방어할 수 있다.5

  • 알림 서비스 및 주기적 확인: 결제 발생 시 즉시 SMS나 앱 푸시로 통보되는 알림 서비스를 반드시 신청하고, 통신사 앱 등을 통해 월별 소액결제 내역을 주기적으로 확인하여 자신도 모르는 결제가 발생하지 않았는지 점검하는 것이 중요하다.

6.2 중기적 대책 (통신사업자 관점)

이번 사건의 1차적 책임은 통신망을 운영하는 통신사업자에게 있다. 신뢰 회복과 재발 방지를 위해 다음과 같은 기술적, 운영적 조치를 시급히 이행해야 한다.

  • RAN 무결성 검증 및 이상 신호 탐지 시스템 구축: 통신사는 자사 네트워크에 접속하는 모든 기지국(매크로셀, 스몰셀, 펨토셀 포함)에 대해 강력한 인증 및 무결성 검증 절차를 도입해야 한다. 기지국이 네트워크에 접속을 요청할 때마다 전자서명 등을 통해 허가된 장비인지 확인하는 절차를 강화하고, 네트워크 관리 시스템은 허가되지 않은 기지국 ID나 비정상적인 파라미터를 가진 신호가 탐지될 경우 즉시 경보를 발령하고 해당 지역의 트래픽을 우회시키거나 접속을 차단하는 자동화된 대응 시스템을 구축해야 한다. 이를 위해 전파관리소와의 긴밀한 협력 하에 전국적인 전파 환경을 상시 모니터링하고 이상 신호를 조기에 탐지하는 체계를 마련해야 한다.

  • 보안 투자 확대 및 전문 인력 양성: 정부의 압박이나 규제 충족을 위한 소극적 투자를 넘어, 진화하는 위협에 선제적으로 대응하기 위한 실질적인 보안 연구개발(R&D) 투자를 대폭 확대해야 한다. 특히 암호화된 서버 내부의 위협 분석에 머무르지 않고, 무선 통신 프로토콜과 물리 계층의 취약점을 전문적으로 분석할 수 있는 ‘화이트 해커’ 및 보안 전문가를 적극적으로 양성하고 채용해야 한다. 이들을 통해 자사 네트워크에 대한 상시적인 취약점 분석과 실제 공격과 동일한 방식의 모의 침투 훈련(Penetration Test)을 정기적으로 수행하고, 그 결과를 투명하게 공개하며 개선 조치를 이행하는 문화를 정착시켜야 한다.

  • 다운그레이드 공격 방어 강화: 2G 네트워크는 보안에 매우 취약하여 단계적으로 서비스를 종료하는 것이 장기적인 방향이다. 서비스 종료 전까지는, 사용자가 원할 경우 자신의 회선에서 2G 접속을 완전히 차단할 수 있는 옵션을 제공하고 이를 적극적으로 홍보해야 한다. 또한, 네트워크 단에서 비정상적인 2G 전환 시도가 특정 지역에서 빈번하게 발생할 경우 이를 이상 징후로 판단하고 정밀 분석에 착수하는 모니터링 시스템을 고도화해야 한다.

6.3 장기적 대책 (정부 및 제도적 관점)

개별 기업의 노력만으로는 국가 통신 인프라 전체의 안전을 담보할 수 없다. 정부는 강력한 규제와 정책적 지원을 통해 통신망 보안의 최소 기준을 끌어올려야 한다.

  • 통신망 보안 관련 법규 현실화 및 강화: 현행 정보통신망법 및 관련 정보보호 고시는 주로 서버 및 정보 시스템의 관리적·기술적 보호조치에 초점을 맞추고 있어, RAN 환경의 특수성을 반영하지 못하고 있다. 법규를 개정하여 서버뿐만 아니라 기지국, 중계기 등 무선 액세스 네트워크 장비의 보안 조치 의무를 구체적으로 명시하고, 가짜 기지국 탐지 및 차단 시스템 구축을 의무화해야 한다. 또한, 영국의 사례처럼 보안 의무를 중대하게 위반한 통신사에 대해서는 연간 매출액의 일정 비율(예: 최대 10%)에 달하는 강력한 과징금을 부과하여, 기업이 보안을 비용이 아닌 생존의 문제로 인식하도록 실질적인 변화를 유도해야 한다.36

  • ISMS-P 인증 제도의 실효성 제고: 현재의 ISMS-P 인증 심사가 서류 및 관리체계 검증 위주로 진행되어 실질적인 보안 수준을 담보하지 못한다는 비판을 겸허히 수용해야 한다. 인증 제도를 개편하여, 통신사만을 위한 특화된 점검 항목(예: RAN 보안, 프로토콜 취약점, 시그널링 보안)을 개발하고, 실제 운영 중인 네트워크에 대한 기술적 취약점 진단과 모의 해킹 테스트를 심사의 필수 항목으로 포함시켜야 한다.36

  • 국가 차원의 위협 정보 공유 및 협력 체계 강화: 이번 사건과 같은 신종 공격 수법이나 위협 징후가 발견되었을 때, 통신 3사와 정부 기관(과기정통부, KISA, 국가정보원 등) 간에 관련 정보가 실시간으로 공유되고 공동으로 대응할 수 있는 채널을 고도화해야 한다. 현재 운영 중인 사이버 위협 정보 분석·공유 시스템(C-TAS) 등을 통해 한 통신사에서 발견된 공격 패턴이나 악성 기지국 정보가 즉시 타 통신사에 전파되어, 유사 공격이 확산되는 것을 선제적으로 차단하는 국가적 방어 체계를 구축해야 한다.

7. 결론: 통신 인프라 보안의 새로운 패러다임을 향하여

7.1 사건의 핵심 교훈 요약

KT 유령 기지국 사건은 대한민국 통신 보안 역사에 중요한 분기점으로 기록될 것이다. 이 사건은 단순한 해킹을 넘어, 우리가 당연하게 여겨왔던 ’연결’의 신뢰성이 얼마나 취약할 수 있는지를 극명하게 보여주었다. 본 사건이 던지는 핵심 교훈은 명확하다. 국내 통신망 보안의 패러다임이 데이터센터의 ’서버 보호’에서 통신망 전 구간에 걸친 ’네트워크 전반의 신뢰성 확보’로 근본적으로 전환되어야 한다는 것이다. 눈에 보이지 않는 전파와 신호의 무결성이 무너질 때, 우리가 구축한 디지털 사회의 근간 전체가 흔들릴 수 있음을 이 사건은 실증적으로 입증했다.

7.2 기술 발전과 함께 진화하는 사이버 위협

5G 시대를 맞아 사물인터넷(IoT), 자율주행차, 스마트 시티 등 모든 사물과 사람이 연결되는 초연결 사회로의 전환이 가속화되고 있다. 이는 통신망의 ’엣지’가 과거와 비교할 수 없을 정도로 복잡해지고, 공격자가 노릴 수 있는 공격 표면(Attack Surface)이 기하급수적으로 넓어지고 있음을 의미한다. 수십억 개의 디바이스가 무선으로 연결되는 환경에서, 이번 유령 기지국 공격과 같은 RAN 계층의 위협은 더욱 빈번하고 정교한 형태로 나타날 것이다. 이번 공격은 다가올 미래 통신 환경에서 발생할 수 있는 수많은 위협의 축소판이자 예고편이라 할 수 있다.

7.3 ‘제로 트러스트(Zero Trust)’ 보안 아키텍처로의 전환 필요성 역설

이러한 새로운 위협 환경에 대응하기 위해, 우리는 기존의 보안 철학을 근본적으로 재검토해야 한다. 더 이상 네트워크를 ’신뢰할 수 있는 내부’와 ’신뢰할 수 없는 외부’로 구분하고, 일단 내부에 들어오면 신뢰를 부여하는 전통적인 경계 기반 보안(Perimeter-based Security) 모델은 유효하지 않다.

이제 통신 인프라 전반에 걸쳐 **“절대 신뢰하지 말고, 항상 검증하라(Never Trust, Always Verify)”**는 제로 트러스트(Zero Trust) 원칙을 적용해야 할 때다.43 제로 트러스트 아키텍처 하에서는 네트워크에 접속하려는 모든 주체, 즉 사용자 단말기, 기지국, 중계기, 코어 네트워크의 서버 등 모든 구성 요소가 접속을 시도할 때마다 매번 자신의 신원을 강력하게 증명하고, 최소한의 권한 원칙(Least Privilege)에 따라 허가된 자원에만 접근할 수 있어야 한다.

이는 단순히 새로운 보안 솔루션을 도입하는 문제를 넘어선다. 통신망의 설계 단계부터 운영, 관리에 이르기까지 모든 과정에 보안을 내재화(Security by Design)하고, 모든 통신 주체와 데이터 흐름을 지속적으로 모니터링하고 검증하는, 보안에 대한 철학적 대전환을 요구하는 시대적 과제이다. KT 유령 기지국 사건은 그 고통스러운 교훈을 통해 우리에게 바로 그 전환의 시급성을 알리는 강력한 경종을 울렸다. 이 경고에 어떻게 응답하느냐에 국가 통신 인프라의 미래 안전성이 달려있다.

8. 참고 자료

  1. [단독] “유령 기지국 만들어 KT망 해킹‥다른 지역으로 이동도 가능” (2025.09.09/뉴스데스크/MBC) - YouTube, https://www.youtube.com/watch?v=JejEYG3CfsM
  2. ‘유령 기지국’ 떠돈다‥KT도 몰랐다 ‘발칵’ (2025.09.10/뉴스25/MBC) - YouTube, https://www.youtube.com/watch?v=yyuXtCS2p5U
  3. SK텔레콤 유심 정보 유출 사고 - 나무위키, https://namu.wiki/w/SK%ED%85%94%EB%A0%88%EC%BD%A4%20%EC%9C%A0%EC%8B%AC%20%EC%A0%95%EB%B3%B4%20%EC%9C%A0%EC%B6%9C%20%EC%82%AC%EA%B3%A0
  4. 스마트폰 시대, 보안이 생명입니다: 개인정보 유출 사고와 이번 USIM 서버 해킹 사건 비교, https://42morrow.tistory.com/entry/%EC%8A%A4%EB%A7%88%ED%8A%B8%ED%8F%B0-%EC%8B%9C%EB%8C%80-%EB%B3%B4%EC%95%88%EC%9D%B4-%EC%83%9D%EB%AA%85%EC%9E%85%EB%8B%88%EB%8B%A4-%EA%B0%9C%EC%9D%B8%EC%A0%95%EB%B3%B4-%EC%9C%A0%EC%B6%9C-%EC%82%AC%EA%B3%A0%EC%99%80-%EC%9D%B4%EB%B2%88-USIM-%EC%84%9C%EB%B2%84-%ED%95%B4%ED%82%B9-%EC%82%AC%EA%B1%B4-%EB%B9%84%EA%B5%90
  5. KT 소액결제 해킹 사건 - 나무위키, https://namu.wiki/w/KT%20%EC%86%8C%EC%95%A1%EA%B2%B0%EC%A0%9C%20%ED%95%B4%ED%82%B9%20%EC%82%AC%EA%B1%B4
  6. KT 소액결제 피해 일파만파…복제폰? 중계기 해킹? / SBS / 편상욱의 뉴스브리핑 - YouTube, https://www.youtube.com/watch?v=NvEOLaGKuvE
  7. 광명·금천 KT 이용자만 쏙쏙… 새벽에 털어간 소액결제 해킹, https://www.chosun.com/national/incident/2025/09/08/YQ7ZIR3GLNFBJGZD2FAWCDBBSY/
  8. KT, 소액결제 피해 건 관련 KISA에 신고…“사전조치 만전” - 디지털데일리, https://www.ddaily.co.kr/page/view/2025090914291761645
  9. KT, 소액결제 한도 일시 축소… “무단 결제 피해 최소화” - 조선일보, https://www.chosun.com/economy/tech_it/2025/09/07/YXXNYM75BJPCF7QUUCUK5WRD6A/
  10. 과기정통부, KT 무단 소액결제 사건 민관합동조사단 구성 - 이투데이, https://www.etoday.co.kr/news/view/2504660?trc=main_list_news
  11. 잠든 사이 4천만원 소액결제… KT 이용자들 피해 조사 착수 - Daum, https://v.daum.net/v/20250909201600271
  12. KT소액결제 줄피해 … 유령기지국에 당했나, https://www.mk.co.kr/news/it/11415390
  13. KT 소액결제 해킹 피해 확산에…과기정통부, 민관합동조사단 가동 - Daum, https://v.daum.net/v/20250909145547820
  14. [단독] ‘한밤중 KT 소액 결제’ 불법 통신 장비 연결 발견, 조직적 해킹 …, https://www.chosun.com/national/incident/2025/09/09/QIV2OQQYWZEH7MDF2V2UYNWCDI/
  15. KT 소액결제 합동조사 착수…업계 “복제폰 가능성 제기” - 전자신문, https://www.etnews.com/20250909000281
  16. “부천서도 KT 소액결제 신고”…‘민관합동조사단’ 조사 착수 / KBS 2025.09.09. - YouTube, https://www.youtube.com/watch?v=4fvsMQWWYWo
  17. KT 소액결제 피해 확산…‘유령 기지국’ 수법 가능성, https://www.hani.co.kr/arti/economy/economy_general/1217862.html
  18. KT, 소액결제 관련 사이버 침해 신고…경찰·과기부, 현장조사, https://www.yna.co.kr/view/AKR20250909086951017
  19. KT 소액 결제 피해 확산…과기부 장관 “근본 대책 수립”(종합2보), https://www.yna.co.kr/view/AKR20250909086953017
  20. KT 소액결제 피해, ‘가상 기지국’ 해킹 정황 포착 - 연합뉴스, https://www.yna.co.kr/view/AKR20250909173000017
  21. [논문 리뷰] The Impact of IMSI Catcher Deployments on Cellular Network Security: Challenges and Countermeasures in 4G and 5G Networks - Moonlight, https://www.themoonlight.io/ko/review/the-impact-of-imsi-catcher-deployments-on-cellular-network-security-challenges-and-countermeasures-in-4g-and-5g-networks
  22. Practical Attacks Against Privacy and Availability in 4G/LTE Mobile Communication Systems, https://www.ndss-symposium.org/wp-content/uploads/2017/09/practical-attacks-against-privacy-availability-4g-lte-mobile-communication-systems.pdf
  23. Top 10 Cyber Threats to Private 5G/LTE Networks - FirstPoint, https://www.firstpoint-mg.com/blog/top-10-cyber-threats-to-private-5g-lte-networks/
  24. Femtocell - Wikipedia, https://en.wikipedia.org/wiki/Femtocell
  25. Rogue Femtocell Owners: How Mallory Can Monitor My Devices - Google Research, https://research.google.com/pubs/archive/41331.pdf
  26. Hacked signal-boosters let cybercriminals “listen in” on cellphones - WeLiveSecurity, https://www.welivesecurity.com/2013/07/16/hacked-signal-boosters-let-cybercriminals-listen-in-to-cellphones/
  27. Vodafone femtocell hack allows call interception on unpatched devices - Help Net Security, https://www.helpnetsecurity.com/2011/07/15/vodafone-femtocell-hack-allows-call-interception-on-unpatched-devices/
  28. 네이버스탠드 - MBC NEWS, https://newsstand.naver.com/include/page/214.html
  29. Exposing LTE Security Weaknesses at Protocol Inter-Layer, and Inter-Radio Interactions, http://metro.cs.ucla.edu/papers/securecomm_camera-ready.pdf
  30. KT 소액결제 피해, ‘가상 기지국’ 해킹 정황 / 연합뉴스TV (YonhapnewsTV) - YouTube, https://www.youtube.com/watch?v=rayW0euUHU8
  31. ‘원인불명’ KT 소액결제 피해사고···배경훈 장관 “근본대책 수립할 것” | - 시사저널e, https://www.sisajournal-e.com/news/articleViewAmp.html?idxno=415122
  32. ‘소액결제’ 민관 합동조사 착수…KT “해킹 정황은 없어” / 연합뉴스TV (YonhapnewsTV), https://www.youtube.com/watch?v=iFrGubBGQ3A
  33. KT 해킹사고 의혹과 무단 소액결제 피해 확산 ‘비상’, 김영섭 위기대응 능력 주목, https://www.businesspost.co.kr/BP?command=article_view&num=410985
  34. 잇단 ‘해킹 비상’…개인정보 불법유통 차단 총력 / YTN - YouTube, https://www.youtube.com/watch?v=8DqjVqdFsyY
  35. 이통사 가입자 서버도 정부 보안 관리 받는다 - 뉴시스, https://mobile.newsis.com/view/NISX20250818_0003293604
  36. [단독]정부 “통신사 보안계획 제출 의무화 추진”…SKT 해킹 재발 막는다 - 아시아경제, https://cm.asiae.co.kr/article/2025062407544632841?from=naver
  37. 통신 3사 ‘보안 강화’ 총력…5년간 2조4000억 쏟는다 - 테크월드뉴스, https://www.epnc.co.kr/news/articleView.html?idxno=320217
  38. SK텔레콤 유심 해킹 사태 분석, https://skt-hack.wisoft.io/
  39. 정보도, 기후도 빠져나간 유심 해킹, https://renewableenergyfollowers.org/4826
  40. [심층분석] SKT 유심 해킹, 최악의 시나리오 4가지 - 파이낸스투데이, https://www.fntoday.co.kr/news/articleView.html?idxno=350477
  41. 실패學 교과서 된 SKT ‘유심 해킹 사태’ - 조선일보, https://www.chosun.com/economy/industry-company/2025/05/01/JS7TG26UGVH5HELG6NBYFWSN6E/
  42. SKT 유심 데이터 해킹 사태 총정리, 지금 알아야 할 것들 - 메일리, https://maily.so/thesync/posts/32z8wd44zn4
  43. Vulnerabilities in Private 5G/LTE: A Growing Threat Landscape - OneLayer, https://onelayer.com/vulnerabilities-in-private-5g-lte/
  44. For criminals, smartphones becoming prime targets - CBS News, https://www.cbsnews.com/news/for-criminals-smartphones-becoming-prime-targets/
  45. Femtocell hack reveals mobile phones’ calls, texts and photos - Hartford Business Journal, https://hartfordbusiness.com/article/femtocell-hack-reveals-mobile-phones-calls-texts-and-photos/