KT 소액결제 서버해킹까지 커지는 해킹사고
“KT 소액결제 해킹 피해” 사건이 KT서버침해까지 신고되면서 통신사의 해킹사태가 갈수록 커지고 있습니다.
SK텔레콤의 유심해킹으로 전국민 유심교체 이슈, 가입자 이탈이 발생했던 사고가 얼마전임에도 불구하고 KT의 서버침해 해킹사건은 국내 통신사의 보안 정책에 다시한번 시선이 집중되고 있어 이번 KT 해킹 사건의 타임라인과 히스토리를 정리해봤습니다
KT 소액결제 서버해킹까지 커지는 해킹사고
KT 소액결제 서버해킹사건 배경 & 개요
- KT 통신사 가입자 대상의 무단 소액결제 피해가 발생 → 고객들 모르게 상품권 구매나 교통카드 충전 등 결제 발생.
- 피해 발생 원인으로 불법 초소형 기지국(펨토셀, “fake/little/gadget” 기지국) 장비를 이용해 통신망 신호를 가로채거나 특정 단말을 해당 기지국으로 유도한 정황 존재
- 인증 절차 중 하나인 ARS 인증(자동응답전화 인증)까지 뚫렸다는 점이 특이함. 피해자 본인이 인증을 직접 한 것이 아님에도 결제가 인증된 경우가 있음
주요 타임라인 & 히스토리
아래는 이번 KT 소액결제 해킹과 서버침해 사건의 확인된 날짜 / 사건 전개 흐름을 순서대로 정리해봤습니다.
| 날짜 / 시점 | 일어난 일 / 발표 내용 |
|---|---|
| 올해 중반 (6월 말) | 불법 초소형 기지국에 단말이 노출된 최초 확인 시기가 2025년 6월 26일임. |
| 8월 27일 ~ 31일 | 경기 광명 지역 등에서 휴대전화 이용자 대상 무단 소액결제 피해 발생 (상품권 구매 / 교통카드 충전) 보고됨. |
| 9월 초 ~ 중순 | 피해가 여러 지역으로 확대됨. 또한 KT 내부 조치 및 정부기관 조사 착수. KT는 개인정보보호위원회에 IMSI 유출 가능성 정황 신고함. |
| 9월 10일 경 | 정부 측에서 ARS 통화기록 분석 등 조사 확대 개시됨. “2025년 6월1일부터 9월10일까지 소액결제 서비스를 이용한 약 220만 명 대상 ARS 통화기록 2,267만 건 분석함” 등의 보고 있음. |
| 9월 11일 | KT가 자체 조사 결과 발표: 불법 초소형 기지국을 통한 일부 고객의 IMSI 유출 가능성 확인, 개인정보보호위원회 신고. 또한 고객 보호 조치 시작. |
| 9월 17일 ~ 16일 | 경찰이 용의자 검거: 인천국제공항에서 한 용의자, 또 다른 용의자는 서울 등지에서 검거됨. 범행 방식 및 장비 확보됨. |
| 9월 18일 오후 11시 57분 | KT가 서버 침해 정황을 한국인터넷진흥원(KISA)에 신고함. 서버 침해 흔적 4건, 의심 정황 2건. |
| 9월 19일 | 정부 측(과기정통부, 금융위 등) 합동 브리핑, 민관 합동조사단 구성, 향후 대책 마련 발표. 피해 규모, 유출 가능 정보(휴대폰번호, IMSI, IMEI 등)에 대한 정황 보고됨. |
확인된 피해 규모 및 유출 정보
- 피해 건수: 약 278건, 피해액 약 1억 7,000여만 원 초기 보고됨.
- 이후 정부 발표에서는 피해자 수 362명, 피해 액수는 약 2억 4,000만 원으로 확대됨.
- 유출 또는 노출 가능성이 있는 정보: IMSI (가입자 식별번호), IMEI (단말기 식별번호), 휴대폰 번호 등이 정황 상 유출됨. 다만 GUTI만 노출된 경우도 있음.
- LTE 망 중심으로 발생, 3G 피해는 없음. I
의문점 / 조사 중인 내용
- 인증 단계 우회: ARS 인증이 어떻게 피해자 동의 없이 통과되었는지, 이름·생년월일·주민등록번호 등의 정보는 어떻게 확보되었는지 등이 조사 중임.
- 불법 초소형 기지국 장비의 망 접속 경로: 해당 장비가 KT의 내부 망(코어망)에 어떻게 연결되었는지, 관리 체계의 허점이 어디인지가 핵심 조사 포인트임.
- 서버 침해 여부: 최근 KT가 “전사 서버 조사”에서 침해 흔적(4건) 및 의심 정황(2건)을 확인했고 KISA에 신고함. 어떤 서버들이, 어떤 방식으로 침해되었는지 아직 확정되지 않음
조치 / 대응
- KT 측 조치:
- 피해 고객 보호 → 무단 소액결제의 피해액에 대해 고객에게 청구하지 않겠다 발표.
- 인증 방식 강화, 소액결제 서비스 한도 조정 또는 차단 제공.
- 유출 가능성이 있는 고객 대상 유심 교체 안내, 알림 메시지 발송.
- 정부 / 규제 기관 조치:
- 민관 합동 조사단 구성 (과기정통부, 금융위 등).
- 한국인터넷진흥원(KISA) 신고 접수 및 서버 침해 정황 검토.
- 개인정보보호위원회(개인정보위)에 IMSI 유출 가능성 신고됨.
- 제도적 개선 요구: 통신사 관리 체계, 불법 기지국 관리, 인증 절차 보완 등이 핵심 화두 됨.
현재까지 확인된 종합 정리
- 무단 소액결제 피해는 불법 초소형 기지국을 이용한 공격이 주요 기술적 수단으로 지목됨.
- 피해자 인증 절차 중 일부가 통상적인 본인 인증 없이도 이루어진 정황이 있어서, 단순한 ‘기지국 해킹만’이 원인이라기보다 기존에 유출되었을 가능성 있는 개인정보 + 기지국 신호 탈취 조합이 있었을 가능성이 있다는 분석이 많음.
- 서버 측에서도 단순한 통신망 흔적 뿐 아니라 내부 서버 침해 정황이 확인됨 → 전사 조사 후 보고서 기반 신고됨.
- 피해 규모 / 유출된 정보 범위가 본격 조사됨에 따라 계속 확대될 가능성 있음. 정부는 투명성 있는 발표 및 제도 보완 요구 중.