[보안뉴스][KT 무단 소액결제] IMEI도 유출 정황...“복제폰 가능성 없다”

내용 요약

2024년 6월부터 시작된 ARS 인증 전수 조사에서 기존 상품권과 교통카드에 대한 개인정보 유출(IMSI·IMEI·휴대폰 번호) 사례가 발견되었습니다. 동시에 불법 초소형 기지국을 활용해 KT에서 무단 소액결제를 수행한 사건이 대두되며, 보안 인프라와 제도 개선이 시급해졌습니다.

핵심 포인트

• ARS 인증: 자동응답(Automatic Response System) 기능을 통해 사기 방지 및 거래 인증을 수행하는 핵심 기술.
• 핵심 식별자 유출(IMEI·IMSI): 기기 고유번호와 가입자 식별자가 유출되면 추적·검증이 어려워져 보안 취약점이 심화.
• 불법 초소형 기지국(rogue BTS): 정상 기지국과 유사한 신호를 보내 무단 결제·통신 캡처가 가능, 모바일 결제 보안에 큰 위협.

기술 세부 내용

1️⃣ ARS 인증 (Automatic Response System)

• 구조: 고객이 전화 또는 음성 입력을 통해 거래를 요청하면, ARS 시스템이 자동으로 인증 절차(OTP 전송, 카드 번호 확인 등)를 진행.
• 운영 흐름
  1. 전화 접속 → 2. 음성 인식 → 3. 핸드폰 인증(OTP) → 4. 거래 승인 → 5. 결제 완료.
• 보안 강화 포인트
  • TLS/SSL를 통한 통신 암호화
  • 역인증(Reverse authentication): 기기 ID(IMEI)와 IMSI를 매칭해 무단 호출 차단
  • 레이트 리밸스: 동일 번호·IP에서 반복 호출 시 차단

2️⃣ IMSI / IMEI 식별자 및 개인정보 유출

• IMEI (International Mobile Equipment Identity)
  • 기기 고유 식별자(15~17자리).
  • SIM 카드와 연결돼 네트워크 접속 시 인증에 사용.
• IMSI (International Mobile Subscriber Identity)
  • 가입자 고유 식별자(15자리).
  • 기기와 SIM이 연결된 네트워크에서 가입자 인증에 필수.
• 유출 시 위험
  • 스푸핑: 가짜 기기로 네트워크에 접속해 트래픽을 가로채거나 무단 결제 시도.
  • 추적 불가: 정규 트래픽과 구분이 어려워 범죄자 추적이 어려움.
• 보안 대책
  • Secure Element (SE)에 IMEI·IMSI 저장 → 외부 접근 차단
  • 정기적 OTA 업데이트를 통해 보안 패치 및 암호화 방식 강화
  • 로그 모니터링: 이상 징후(불일치한 IMEI·SIM) 감지 시 즉시 차단

3️⃣ 불법 초소형 기지국 (Rogue BTS)과 무단 소액결제

• 작동 원리
  • Mini‑BTS를 설치해 실제 기지국과 동일한 주파수(내부망)로 신호 전송.
  • 사용자의 모바일 기기를 가장해 통신을 가로채고 결제 요청을 변조.
• 위험 요소
  • 통신 캡처: 결제 데이터, SMS, 전화 내용까지 가로채 가능.
  • 무단 결제: 실제 결제 명령과 동일한 패턴으로 결제 승인 유도.
• 탐지 및 대응
  • Cell-ID 모니터링: 비정상적으로 짧은 전파 범위 감지
  • SIM‑Lock: 기기가 연결되는 기지국에 대한 허용 목록 구현
  • 고객 알림: 비정상 거래 발생 시 즉시 SMS/앱 알림 전송

---

최종 정리
- ARS 인증은 모바일 결제 보안의 핵심이지만, 기기·가입자 식별자(IMSI/IMEI)의 유출이 보안 위협을 크게 가중시킵니다.
- 불법 초소형 기지국은 무단 결제와 개인정보 탈취를 가능하게 하며, 이를 방지하기 위해 기지국 인증과 기기 고유 식별자 보호가 필수적입니다.
- 보안 인프라와 제도 개선을 통해 이러한 취약점을 차단하고, 사용자와 기업 모두를 보호하는 체계적인 대응이 필요합니다.

 

출처: http://www.boannews.com/media/view.asp?idx=139343&kind=&sub_kind=