KT 복제폰 유령기지국으로 인해 247건 1억 2천이 넘는 돈이 소액결제로 빠져나감1. 유령기지국이 뭔데?쉽게 말해 짝퉁 기지국임 우리가 쓰는 휴대폰은 신호가 세고 가까운 기지국에 자동으로 연결됨와이파이가 강한곳에 자동으로 붙는 것과 같은 원리임이때 유령기지국이 있다면?공격자가 만든 복제폰 짝퉁 기지국에 폰이 연결되고IMSI(가입자 식별자) 같은 정보가 해킹법에게 들어감그럼 그 폰이 복제된 것이냐?2. NO, 복제폰은 아님LTE/5G는 보안이 빡세서, 고작 유령기지국으로는 복제할 수가 없고복제폰을 만들려면 유심을 복제해야하는데 이건 원거리에서 할 수 있는게 아님그럼 복제폰 KT의 복호화 코드가 뚫린거냐? 그런 것도 아님이번 사건의 핵심은 ARS(전화 인증) 허점임서울경제3. ARS 인증이 진짜 함정ARS 소액결제란 뭐냐면소액결제할 때 “해당 번호로 전화 걸거나 전화가 오면, 1번 누르세요” 하는 방식임원칙적으로는 실제 명의자 폰이 복제폰 있어야만 가능그런데 앞에서 말한 유령기지국이 회선을 가로채는 장치처럼 동작ㄷㄷㄷSORA즉, 피해자 폰까지 전화가 안 가고, 공격자 장비가 중간에 ARS를 대신 받음결과적으로 복제폰 필요 없음피해자는 그 시간대 그냥 통화 불안정 정도만 느낄 뿐이라고함 그 복제폰 시간에 해킹범이 전화 대신받아서 소액결제로 돈 빼돌리는 것 ㄷㄷSORA4. 왜 이게 가능했나?ARS 인증 자체가 구식임문자/PASS 앱 인증은 단말 고유성을 전제로 함그러나ARS는 단순히 “그 번호로 전화가 연결됐는지”만 확인망을 가로채면 전화 수신도 숫자 입력도 복제폰 공격자가 처리 가능해짐 5. 시사점“유령기지국 = 강력한 범죄 도구” 맞음하지만 진짜 문제는 ARS 인증이라는 구멍소액결제 시장이 너무 쉽게 열려 있음 → 공격자 입장에서는 리스크 대비 효율 최고앞으로 ARS 인증은 없어져야 하고, 문자·PASS 복제폰 같은 강한 인증으로 통일 필요이용자 입장에서는 소액결제 한도 0원 같은 선제적인 조치가 필요함6. 결론기가막힌 소액결제 사건의 이면에는 복제폰은 필요 없었음.“가짜 기지국이 전화기선을 가로채서, 대신 버튼을 눌러준 것” → 이렇게 이해하면 됨즉, 이번 복제폰 사건은 기술 해킹 + 인증 허술함이 맞물린 케이스물론 정확한 사건의 전말은 KT와 경찰의 수사결과 발표를 확인해야 정확히 알 수 있음초유의 창의적 사건으로 인해 온 나라를 들썩이는 걸 보면보안과 범죄의 세계야말로 정말 무궁무진한 복제폰 세계인 것이 분명
