728x90
반응형
내용 요약
A씨가 겪은 불법 초소형 기지국 ‘펨토셀’을 이용한 KT 소액결제 해킹 사건은, 휴대폰이 가까이 있음에도 모르는 결제까지 연속 발생한 사례입니다.
피해자는 경찰 신고 후 ‘소액결제 해킹’이라는 공식 명칭을 알게 되었으며, 공격자는 펨토셀을 통해 모바일 트래픽을 가로채어 결제 명령을 조작했습니다.
핵심 포인트
- 펨토셀(PentaCell) 기반 스니핑: 초소형 기지국을 장착해 근거리 모바일 트래픽을 가로채는 공격 방법
- 소액결제 시스템 취약: ‘소액결제’ API와 인증 체계가 불충분해 외부에서 거래를 악용할 수 있음
- 사고 대응의 한계: 고객센터의 ‘정상 결제’ 응답과 같은 대응이 피해자 보호를 제대로 못함
기술 세부 내용
1️⃣ 펨토셀 (PentaCell)
- 정의: 0.1 m² 이하의 초소형 기지국으로, 기존 기지국보다 10배 작은 전력(수 mW)으로도 LTE/5G 신호를 송수신할 수 있는 장치
- 전파 방해 및 가로채기: 펨토셀은 지정된 주파수 대역에서만 동작하며, 대상 휴대폰과의 통신을 중계(프록시)합니다.
- 공격 단계
- 위치 선정: 피해자의 집, 사무실, 교통카드 충전기 근처 등 고정된 환경에 숨겨 설치
- 스니핑: LTE/5G 패킷을 캡처하고 TLS 세션을 해석 (암호화가 약한 경우)
- 재전송: 캡처한 패킷을 변조하거나 재전송해 모바일 결제 서버에 가짜 결제 요청을 보냄
- 방어
- 주파수 스캐닝: 무선 스펙트럼 분석기로 비정상적인 LTE/5G 신호 탐지
- 기지국 인증 강화: eSIM 인증, 인증서 기반 TLS를 활용해 프록시 연결 차단
2️⃣ 소액결제 (Small‑Transaction) 해킹
- 시스템 구조
- 결제 흐름: 모바일 앱 → SIM‑계정(구글 Play Balance, 충전 등) → 모바일결제 API → 가맹점
- 인증: 대부분 OTP 없이 ‘알림톡/문자’ 인증만으로 승인 처리
- 취약 포인트
- SIM‑계정 무단 접근: 펨토셀을 통한 트래픽 가로채기 → 결제 요청에 포함된 SIM 인증 토큰 변조
- API 인증 부재: 결제 API가 IP, 장치 ID 외에 별도 서명 없이 요청을 수락
- 거래 금액 제한 회피: 소액(≤ 10,000 원) 한도를 넘기지 않아 로그가 남지 않음
- 공격 사례
- A씨는 수십만 원어치 모바일상품권 구매와 교통카드 충전을 무단으로 진행
- 결제 기록은 모바일앱에 표시되나 실제 결제 서버에서는 가짜 토큰으로 처리
- 방어
- 멀티팩터 인증(MFA): 결제 시 OTP 혹은 생체인증 요구
- 거래 금액 알림 강화: 모바일앱과 SMS/이메일로 대규모 결제 알림
- API 요청 서명: HMAC 혹은 JWT를 사용해 요청 무결성 검증
위 두 기술이 결합되어 실제로 휴대폰을 가까이에 두고도 모르는 결제가 발생할 수 있음을 보여줍니다. 기업과 사용자 모두 펨토셀 감지와 소액결제 보안 강화가 시급한 과제로 부상했습니다.
출처: https://www.dailysecu.com/news/articleView.html?idxno=200329
728x90
반응형
SMALL
'보안이슈' 카테고리의 다른 글
| [보안뉴스]NIA, 국산 양자 소부장 기술 보급 팔 걷는다 (0) | 2025.09.12 |
|---|---|
| [보안뉴스]초등학교·통학로에 경찰인원 5만여명 배치...아동 안전 확보 나선다 (0) | 2025.09.12 |
| [보안뉴스][IP포토] “특허 빅데이터, 이렇게 써먹으세요”...KIPRIS 활용사례 공모전 등 개최 (1) | 2025.09.11 |
| [보안뉴스][KT 소액 무단결제] 개인정보위, “KT, 개인정보 유출 경위·피해 규모 조사” (0) | 2025.09.11 |
| [보안뉴스]LGU+ 익시오, 그놈 목소리로 탐지 정확도 높인다 (0) | 2025.09.11 |