펨토셀 취약점을 이용한 KT IMSI 캐쳐 공격 기술 분석

AI로 조사해봄

요약

최근 발생한 KT 고객 대상 스미싱 및 소액결제 사기 사건은 3G/4G 네트워크의 중요 구성 요소인 펨토셀(Femtocell)의 보안 취약점을 악용한 정교한 공격이었다. 본 문서는 해당 공격에 사용된 핵심 기술을 3GPP 표준 보안 아키텍처 관점에서 분석하고, 공격 벡터(Attack Vector), 핵심 취약점, 그리고 기술적 대응 방안을 제시하는 것을 목적으로 한다.

---

1. 3GPP 스몰셀(펨토셀) 기술 및 보안 개요

펨토셀은 3GPP 기술 표준에서 HNB(Home NodeB, 3G) 또는 HeNB(Home eNodeB, 4G/LTE)로 정의되는 저전력 소형 기지국이다. 주된 목적은 실내 및 음영 지역의 커버리지를 확보하고, 매크로 네트워크의 트래픽을 분산하는 것이다.

HeNB는 일반 가정이나 사무실의 광대역 인터넷 회선을 통해 이동통신사의 코어망(Core Network)에 연결된다. 이 과정에서 신뢰할 수 없는 공용 인터넷을 경유하므로, 3GPP는 TS 33.320 표준을 통해 다음과 같은 보안 아키텍처를 정의했다.

• 보안 게이트웨이 (SeGW, Security Gateway): 코어망의 경계에 위치하며 모든 HeNB 트래픽의 인증과 암호화를 담당하는 관문 역할을 수행한다.
• IPsec 터널링: HeNB와 SeGW 사이의 모든 통신(사용자 데이터 및 제어 신호)은 IPsec 기반의 암호화 터널을 통해 전송되어 기밀성과 무결성을 보장받는다.
• 상호 인증: HeNB가 네트워크에 접속하기 전, 인증서 기반의 상호 인증(Mutual Authentication)을 통해 정식으로 인가된 장비인지 검증한다.
• 신뢰 실행 환경 (TEE, Trusted Execution Environment): HeNB 장비 내에 하드웨어 기반의 보안 환경을 구축하여, 악의적인 펌웨어 변경이나 데이터 탈취를 방지하도록 권고한다.

2. 공격 시나리오 상세 분석

이번 KT 공격은 사건 초기 '펨토셀'의 취약점을 이용한 것으로 알려졌으나, 이후 '중계기'가 악용되었다는 분석도 제기되었습니다. 두 장비의 기술적 차이점을 이해하는 것이 중요합니다.

[참고] 펨토셀과 중계기의 차이

• 펨토셀(Femtocell/HeNB): 인터넷 회선을 통해 통신사 코어망에 직접 연결되는 초소형 IP 기반 기지국입니다. 단말기의 통신을 종단하여 IP 데이터로 변환 후, 암호화 터널(IPsec)을 통해 코어망으로 전송합니다. 장비 제어권을 완전히 획득하면, 데이터가 암호화되기 직전의 평문 상태로 메모리에 올라오는 것을 탈취할 수 있습니다. (본문에서 설명하는 시나리오)
• 중계기(Repeater): 주변 매크로 기지국의 무선 신호(RF)를 받아 증폭한 뒤 음영 지역으로 재방사하는 신호 증폭 장치입니다. 코어망에 직접 연결되지 않으며, 데이터 내용을 복호화하지 않습니다. 따라서 중계기를 악용하면 신호 교란이나 IMSI Catcher와 같은 공격은 가능하지만, 펨토셀처럼 복호화된 SMS 내용을 직접 가로채는 공격은 훨씬 더 어렵고 다른 방식의 접근이 필요합니다.

본 글에서는 현재까지 널리 알려진 펨토셀 기반의 공격 시나리오를 중심으로 분석하며, 이와 관련된 기술적 배경을 설명합니다.

이 시나리오에 따르면, 공격은 상기한 표준 보안 절차를 단계적으로 우회하거나 악용했습니다.

Phase 1: 펨토셀 장비 탈취 및 제어권 획득

• 물리적 접근: 공격의 시작은 물리적으로 노출된 펨토셀 장비를 탈취하는 것이다. 펨토셀은 관리가 허술한 공공장소나 개인 주택에 설치되는 경우가 많아 물리적 탈취에 취약하다.
• 펌웨어 추출 및 분석: 탈취한 장비에서 펌웨어를 추출하고 리버스 엔지니어링을 통해 관리자 접근 권한(root)을 획득한다. JTAG 디버깅 포트 노출, UART 콘솔 접근, 또는 펌웨어 업데이트 매커니즘의 취약점 등이 주로 악용된다.

Phase 2: 악성 펨토셀 구축 (Rogue HeNB)

• 네트워크 식별자 변조: 루트 권한을 획득한 공격자는 펨토셀의 핵심 파라미터를 수정한다. 구체적으로, KT 네트워크를 식별하는 MCC(Mobile Country Code), MNC(Mobile Network Code), TAC(Tracking Area Code) 등의 값을 정상적인 KT 기지국과 동일하게 위조한다.
• IMSI Catcher 기능 활성화: 변조된 펌웨어를 통해 주변 단말기(UE, User Equipment)의 IMSI(International Mobile Subscriber Identity)와 IMEI(International Mobile Equipment Identity) 등의 고유 식별자를 수집하는 IMSI Catcher 기능을 구현한다.

Phase 3: 중간자 공격(Man-in-the-Middle)

• 강제 접속 유도: 공격자는 차량 등을 이용해 목표 지역으로 이동하며(War Driving), 위조된 악성 펨토셀의 신호 출력을 높여 주변의 KT 가입자 단말이 자신의 기지국에 접속하도록 강제한다. 단말은 가장 강한 신호를 우선적으로 선택하는 셀 선택/재선택(Cell Selection/Reselection) 절차에 따라 악성 펨토셀에 연결된다.
• 인증 우회 및 트래픽 중계: 악성 펨토셀은 단말에 대해서는 정상 기지국처럼 행세하고, 실제 코어망 방향으로는 정상적인 HeNB처럼 IPsec 터널을 생성하여 트래픽을 중계한다. 이로써 공격자는 단말과 코어망 사이의 중간자 위치를 확보한다.

Phase 4: SMS 인증번호 탈취

• 평문 데이터 노출: 공격의 핵심 단계이다. 단말에서 발송된 SMS 메시지는 무선 구간(Uu Interface)에서 암호화되어 HeNB에 도달한다. HeNB는 이 메시지를 복호화하여 IP 데이터로 변환한 후, IPsec 터널을 통해 SeGW로 전송한다.
• 메모리 데이터 탈취: 공격자는 HeNB의 루트 권한을 가지고 있으므로, 복호화된 직후, 그리고 IPsec으로 암호화되기 직전의 평문 상태 SMS 데이터를 메모리 상에서 직접 탈취할 수 있다. 이번 사건에서 소액결제 인증번호가 포함된 SMS가 탈취된 것은 바로 이 지점에서의 취약점 때문이다.

3. 핵심 보안 취약점

1. 물리적 보안의 부재: 분산된 수많은 펨토셀/중계기 장비에 대한 물리적 접근 통제가 사실상 불가능하다는 점이 모든 공격의 시발점이다.
2. 단말의 보안 설계 미흡: Secure Boot, 펌웨어 서명, TEE 등 하드웨어 기반의 보안 기능이 없거나 우회 가능하도록 설계된 장비는 펌웨어 변조에 극히 취약하다.
3. SMS 프로토콜의 종단간 암호화(E2EE) 부재: SMS는 설계상 기지국에서 평문으로 처리되는 구간이 존재한다. 즉, 기지국 자체의 신뢰성을 전제로 하는 프로토콜이다. 기지국(펨토셀)이 해커에게 장악된 순간, SMS 보안은 무력화된다.

4. 기술적 대응 방안

• 네트워크 측면 (Network-Side):
  • Rogue Base Station Detection System (RBDS): 기지국 신호의 패턴, 위치 정보, 전송 파라미터 등을 지속적으로 분석하여 비정상적인 악성 기지국을 탐지하고 차단하는 시스템을 고도화해야 한다.
  • 인증 강화: HeNB 접속 시, 단순 인증서 유효성 검사를 넘어 단말의 무결성 증명(Remote Attestation) 절차를 도입하여 펌웨어 변조 여부를 원격으로 검증하는 방안을 고려할 수 있다.
• 단말(펨토셀/중계기) 측면 (Device-Side):
  • 보안 내재화(Security by Design): 펨토셀/중계기 설계 단계부터 물리적 복제 방지(Anti-cloning), 안티 탬퍼링(Anti-tampering), 보안 부팅(Secure Boot) 등 하드웨어 보안 기술을 의무적으로 내재화해야 한다.
• 프로토콜/서비스 측면 (Protocol/Service-Side):
  • 인증 방식 전환: 금융 거래와 같이 높은 수준의 보안이 요구되는 본인 인증의 경우, SMS와 같은 탈취 가능한 방식에서 벗어나 별도의 보안 채널을 사용하는 앱 기반 푸시 알림(e.g., PASS 앱) 또는 E2EE가 적용된 메신저 기반 인증으로 전환을 가속화해야 한다.

5. 결론

KT 해킹 사건은 사용된 장비가 펨토셀인지 중계기인지에 대한 논란은 있으나, 결국 물리적, 시스템적, 프로토콜적 취약점이 결합되어 발생한 복합적인 보안 위협이라는 점은 분명합니다. 5G 시대 이후 스몰셀의 확산이 가속화됨에 따라, 장비 자체의 보안을 강화하고, 네트워크 단에서 이상 징후를 지속적으로 모니터링하며, 중요 인증 정보는 종단간 암호화된 채널로 전송하는 다계층(Defense-in-Depth) 보안 전략의 수립과 이행이 시급합니다.

#펨토셀 #중계기 #HeNB #3GPP #보안 #IMSI캐쳐 #중간자공격 #스미싱 #기술분석

---