최근 뉴스에서 KT 소액결제 해킹 사건이 크게 보도되면서 ‘펨토셀’이라는 생소한 단어가 많이 등장했습니다. 처음 들어보신 분들은 “펨토셀이 도대체 뭐길래 해킹에 쓰였을까?” 하고 궁금해하실 거예요. 오늘은 이 펨토셀이 뭔지, 또 어떤 원리로 해킹에 이용될 수 있는지 일반인 눈높이에서 정리해 보겠습니다.
펨토셀, 쉽게 말해 작은 기지국
펨토셀은 원래 해킹 도구가 아니라 통신사에서 제공하는 초소형 기지국이에요. 집이나 사무실처럼 휴대폰 신호가 약한 곳에서 통화나 인터넷이 끊기지 않게 해주는 장치죠. 겉모습은 공유기처럼 생겼는데, 집 인터넷 회선에 연결하면 그 안에서 휴대폰이 기지국 신호를 잡고 통신사 망으로 연결되는 구조입니다.
왜 해킹에 쓰일 수 있을까?
문제는 펨토셀이 휴대폰과 통신사 사이에 끼어드는 구조라는 점이에요. 쉽게 말해, 휴대폰이 펨토셀을 진짜 기지국처럼 믿고 접속하는데, 만약 누군가가 이 장비를 조작하거나 불법으로 만든 장치를 사용하면 중간에서 몰래 신호를 가로챌 수 있습니다.
-
문자 인증번호나 전화 인증 과정이 펨토셀을 거치면서 노출될 수 있고,
-
휴대폰 고유 식별 번호 같은 정보도 빼낼 수 있으며,
-
심하면 인증 과정 자체를 바꿔치기 하는 것도 가능하다고 합니다.
KT 소액결제 해킹에 쓰인 방식
이번 사건에서 범인들은 정상 펨토셀을 변조했거나, 불법으로 제작된 유사 장비를 이용해 피해자들의 휴대폰을 자기네 장비에 연결시킨 것으로 알려졌습니다. 그렇게 되면 소액결제 인증에 필요한 문자나 ARS 인증 전화가 범인의 장비를 거쳐 가게 되고, 이 과정을 통해 인증 절차를 우회하거나 정보를 탈취했을 가능성이 높습니다. 결국 “내 휴대폰 번호로 인증했는데, 내가 모르는 결제가 이루어진” 상황이 발생한 거죠.
우리가 주의해야 할 점
이런 해킹은 일반 사용자가 직접 막기 어렵습니다. 펨토셀 같은 장비는 통신사 관리 영역이라 개인이 손댈 수 없거든요. 다만 우리가 할 수 있는 건 휴대폰 번호만으로 이뤄지는 결제를 최소화하고, OTP·앱 푸시·생체인증 같은 추가 보안 수단을 활용하는 겁니다. 특히 소액결제 한도를 낮춰 두거나 아예 차단해 두는 것도 좋은 방법입니다.