[데일리시큐]"KT 소액결제 해킹, 8월 5일 시작됐다…경찰 통보 뒤에도 109건 추가 피해"

내용 요약

KT 소액결제 시스템이 8월 5일부터 9월 3일까지 527건의 부정 결제와 278명 고객 피해를 일으켰습니다. 초기 대응이 늦어지고, 추가 109건 피해가 발생하면서 부정 행위 축소·은폐 의혹이 커지고 있습니다.

핵심 포인트

• 취약점 악용: KT 소액결제 게이트웨이에서 보안 미비점을 이용해 무단 결제 수행.
• 피해 규모와 시간대: 16일 동안 527건 부정 결제, 8월 21일·26일에 33건씩, 27일에 106건이 집중.
• 대응 부실·은폐 의혹: 경찰 분석 요청 이후 2일간 추가 109건 피해, 초기 방어체계 부재와 사후 보완 미흡이 드러남.

기술 세부 내용

1️⃣ 소액결제 (Micro‑Payment) 시스템

• 구조:
  1️⃣ 결제 요청 – 모바일 앱 또는 웹에서 POST /payment 호출.
  2️⃣ 가맹점 인증 – TLS 암호화와 API‑Key를 사용해 KT 서버에 인증.
  3️⃣ 지불 처리 – 카드·계좌·간편결제(Apple Pay, Google Pay 등)와 연결된 결제 게이트웨이로 라우팅.
• 보안 요구사항:
  • PCI‑DSS 준수: 카드 데이터 암호화(암호화된 전송 & 저장).
  • 세션 관리: JWT 토큰을 통한 무결성 검증, 만료시간(5분~30분) 설정.
  • 입력 검증: SQL 인젝션·XSS 방지를 위해 파라미터화된 쿼리 및 콘텐츠 필터링.

2️⃣ 취약점 악용 경로 (Exploit Chain)

• 1️⃣ 인증 우회:
  • API‑Key가 외부에 노출된 채널(예: 로그, 파일)에서 수집 → Bearer Token을 재사용.
• 2️⃣ 세션 탈취:
  • 쿠키(Secure, HttpOnly)가 설정되지 않아 XSS 스크립트가 쿠키를 훔침 → 세션 재사용.
• 3️⃣ 결제 승인 매개 변수 변조:
  • amount, currency, merchant_id 값을 임의로 조작해 low‑value 결제 요청을 생성.
• 4️⃣ 내부 DB 접근:
  • SQL 인젝션을 통해 transactions 테이블에 무단 삽입 → 가짜 결제 기록 생성.

3️⃣ 사고 대응 절차 (Incident Response)

1️⃣ 인시던트 인지 – 실시간 모니터링(Prometheus + Grafana)에서 비정상 거래량 감지.
2️⃣ 분리 – 영향을 받은 서버를 네트워크에서 격리, iptables 기반 차단.
3️⃣ 증거 수집 – 로그(syslog, application logs), 트래픽 캡처(tcpdump), 메모리 덤프(gcore).
4️⃣ 취약점 패치 – 소스 코드 분석, dependency‑check로 알려진 CVE 업데이트 적용.
5️⃣ 재발 방지 – OWASP Top 10 체크리스트를 기반으로 보안 강화(2FA, CSP, HSTS).
6️⃣ 피해자 통보 – GDPR/개인정보보호법에 따라 피해자 알림 및 보상 정책 수립.

4️⃣ 법적·정책적 이슈

• 데이터 유출 및 은폐: 109건 추가 피해 발생 시, 초기 방어 부재가 법적 책임을 가중.
• 국회 조사: 과학기술정보방송통신위원회가 KT의 자료를 검토, 공정성 확보 필요.
• 개선 요구: PCI‑DSS 재인증 및 보안 가이드라인(ISO 27001) 준수 강제.

주요 교훈
- 소액결제는 “작은 금액”이라 생각하기 쉬우나, 대량 발생 시 기업 재무에 큰 충격을 줍니다.
- 인증 및 세션 보안이 핵심, 취약점이 생기면 공격자는 “금액 제한” 없이 무제한 결제 가능.
- 사고 발생 즉시 “S‑E‑R‑T”(Secure, Evaluate, Respond, Trace) 절차를 적용하면 피해 범위 최소화가 가능합니다.

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=200532