[심층] ‘유령기지국’ 통한 소액결제 피해…디지털 인증 체계의 사각지대

경기 광명시와 서울 금천구에서 KT 이용자를 중심으로 소액결제 피해가 다수 보고되면서, 불법 초소형 기지국, 이른바 ‘유령기지국’ 개입 가능성이 제기됐다. KT는 9일 일부 통화 기록에서 실존하지 않는 기지국 ID가 확인됐다고 밝혔고, 과학기술정보통신부(과기정통부)는 민관합동조사단을 꾸려 현장 조사에 착수했다.


피해는 피해자의 동의 없이 소액결제가 이루어졌다는 점, 특정 지역에 집중됐다는 점에서 단순 피싱이나 스미싱을 넘어 통신망을 경유한 보안 침해 가능성을 보여준다. 전문가들에 따르면 유령기지국은 초소형 장비로 실제 통신망을 위장해 휴대폰을 강제로 연결시키고, 본인 인증이나 금융 정보를 탈취하는 데 악용될 수 있다.

KT는 “불법 기지국의 실체나 소액결제와의 직접적 연계는 확인되지 않았다”며 “추가 피해 방지를 위해 소액결제를 차단하고 신규 초소형 기지국의 통신망 접속을 제한했다”고 설명했다. 과기정통부는 해당 사안을 단일 사건으로 보지 않고, 타 통신사 사례까지 포함해 조사를 확대하고 있다.

전문가들은 이 사건이 디지털 인증 체계의 구조적 취약성을 드러냈다고 지적한다. 현재 널리 쓰이는 휴대전화 기반 본인 인증은 통신망 자체가 공격당하면 무력화될 수 있기 때문이다. 특히 기지국 간 접속 절차와 인증 메커니즘에 대한 제도적 관리가 여전히 미흡하다는 지적도 나온다.

익명을 요구한 보안 전문가는 “초소형 기지국은 합법적 활용도 가능하지만, 통신망이 이를 실시간 식별·차단하지 못하면 단말 이용자가 보호받지 못하는 상황이 발생한다”고 말했다.

업계에서는 사전 보안 점검 미흡을 지적하는 목소리도 있다. 그러나 KT는 “자체 네트워크 보안 체계에는 문제가 없으며, 메인망 해킹이나 서버 침입 정황은 확인되지 않았다”고 강조했다.

정보통신 정책 전문가들은 이번 일을 계기로 통신 인프라 보안 정책을 강화하고 인증 방식을 다변화해야 한다고 지적한다. 금융·공공·민간 플랫폼 전반이 기지국 기반 단일 인증 수단에 과도하게 의존하는 만큼, 대안적 인증 체계를 모색할 필요가 있다는 것이다.

디지털 사회에서 통신망은 단순한 데이터 전송 수단을 넘어 금융과 공공 서비스 접근의 관문 역할을 한다. 정부와 기업, 사용자 모두 인식 전환과 제도 보완을 통해 보다 견고한 보안 체계를 마련해야 할 시점이다.