[KT 소액결제 피해] IMSI 유출 공식 인정·전국 확산, 피해 278건·1억7천만 원 규모_2025년 9월
KT가 불법 기지국 접속으로 인한 IMSI 유출 가능성을 공식 인정하고 대국민 사과. 피해는 전국적으로 확산되며 총 278건·1억7천만 원 규모로 집계. 정부·민관 합동조사단이 원인 규명 및 재발 방지 대책 마련에 착수

□ 개요
2025년 8월 말부터 발생한 KT 및 KT망 기반 알뜰폰 이용자 대상 소액결제 피해는 수도권에서 시작해 전국적으로 확산되었다. 피해건수는 최소 278건, 피해액은 약 1억7천만 원으로 집계되었다.
KT 조사 결과, 자사 관리망에 없는 미등록 기지국 ID 접속이 확인되었으며, 이를 통해 약 5,561명의 단말에서 IMSI 유출 가능성이 확인되었다. 전체적으로는 약 1만9천 명이 불법 기지국 신호에 노출된 것으로 파악된다.
KT 대표이사는 9월 11일 공식 기자회견을 통해 대국민 사과를 발표했고, 피해자에게는 전액 보상(피해액 미청구), 무료 유심 교체 및 보호 서비스 제공을 약속했다. 정부는 과기정통부·KISA·경찰·민간 전문가가 참여하는 민관 합동조사단을 구성해 원인 규명과 보안 대책 강화를 추진 중이다.
□ 사고내용 요약
1. 기관명 : KT (피해자 : 광명·금천·부천·영등포·부평 및 추가 지역 이용자)
2. 사고유형 : 소액결제 한도 상향 및 무단 결제 발생 (불법 기지국 활용 가능성 수사 중)
3. 피해규모
- 광명 : 61건 / 약 3,800만 원
- 금천 : 14건 / 약 800만 원
- 부천(소사 관할) : 5건 / 약 411만 원
- 영등포 : 1건 / 약 49만 5천 원
- 부평 : 1건 / 약 27만 5천 원
- 기타 지역 포함 합계 : 278건 / 약 1억7천만 원
4. 피해항목 : 모바일 상품권 구매, 교통카드 충전 등 소액결제
5. 유출경위(추정)
- 미등록 기지국 접속 → 단말 IMSI 등 식별정보 탈취 → 본인 인증 우회 → 새벽 시간대 다수 결제 발생
- 일부 단말은 소액결제 한도가 임의 상향됨
- 본인 인증 문자 미수신 상태에서 결제 진행 정황 확인
□ 피해자 발생지역 (09.09/화 기준)
① 광명 → ② 금천 → ③ 부천 → ④ 영등포 → ⑤ 부평(기타 지역 추가 신고 진행 중)

□ 피해자들에게 나타난 주요 증상
요약하면, 피해자들은 ① 소액결제 한도 임의 상향 → ② 인증 절차 부재 상태에서 결제 진행 → ③ 피해는 새벽 시간대 집중 → ④ 카카오톡 로그아웃 등 비정상 징후 동반 → ⑤ 모바일 상품권·교통카드 중심으로 반복 결제라는 공통 증상을 경험
1. 소액결제 한도 임의 변경
- 평소 한도를 0원으로 설정해둔 가입자도 밤사이 자동으로 100만 원으로 상향된 사례 발생
- 한도 변경 승인 알림을 받지 못한 채, 결제가 이루어진 것이 특징
2. 모바일 상품권·교통카드 충전 결제
- 대부분 모바일 상품권 구매 및 교통카드 충전 형태로 수십만 원씩 결제
-일부 피해자는 단 한 번에 80만 원 이상 결제되는 사례도 있었음
3. 인증 절차 부재
- 피해자들은 공통적으로 회원가입·결제 인증 문자를 받지 못했다고 증언
- 즉, 정상적인 본인 인증 절차 없이 결제가 진행된 정황
4. 카카오톡 로그아웃
- 일부 피해자는 새벽에 카카오톡이 로그아웃되어 있었다고 보고
- 이를 계기로 소액결제 내역을 확인하고 피해 사실을 알게 된 사례가 존재
5. 집단·지역적 집중 발생
- 경기 광명 소하동 아파트 단지, 서울 금천구 등 특정 지역 KT·알뜰폰 사용자들에게 피해 집중
- 같은 통신사, 같은 생활권 사용자가 동시에 피해를 입음
6. 본인 모르게 누적 결제
- 새벽 사이 **수차례 반복 결제(62차례/1,769만 원)**가 발생
- 피해자 다수가 아침에 확인할 때까지 인지하지 못함
□추가 특징(수사기관·언론 발표 종합)
1. 유령 기지국 정황 : KT는 광명 일대 접속 이력에서 ‘미상의 기지국 ID’ 확인
- 실제 운영 기지국 수(5개)보다 많은 접속 기록(6개)이 발견됨.
- 이는 해커가 일시적 가상 기지국을 세워 가입자를 강제로 붙잡고 정보를 수집했음을 시사
2. 범행 방식 추정
- 가입자 단말이 가상 기지국에 접속
- 단말 식별정보 등 인증 관련 정보 유출
- 새벽 시간대 무단 소액결제 발생
3. 범행 방식 추정
- 국내 첫 사례 : 가상 기지국 기반 해킹이 실사용 환경에서 확인된 것은 국내 최초 사례
- KT 공식 입장 : “개인정보 해킹 정황은 현재까지 확인되지 않았다”면서도 침해 사실은 KISA에 신고하고 정부 조사단과 수사기관에 협조 중
□ 해킹대응 타임라인
- 8월 27일~31일 : 광명 이용자 26명 피해 (총 1,769만 원)
- 8월 25일~9월 2일 : 금천 이용자 14명 피해 (총 800만 원)
- 9월 2일 : 광명·금천 사건 경찰 접수 → 경기남부경찰청 사이버수사대 수사 착수
- 9월 5일 새벽 : KT, 이상 트래픽 탐지 및 차단
- 9월 6일 : 피해자 55명 / 피해액 3,500만 원 집계
- 9월 8일 : 미등록 기지국 ID 접속 확인, KISA에 침해사실 신고
- 9월 9일 : 정부, 민관 합동조사단 구성 → 불법 기지국 통신망 접속 전면 제한
- 9월 10일 : KT 전수조사 결과 발표 → 피해 278건·1억7천만 원 → 피해액 전액 미청구 방침
- 9월 11일 : KT 대표이사 공식 대국민 사과, IMSI 유출 가능성 인정 (피해 고객 5,561명 개별 통지)
□ 홈페이지 보안사고 관련 공지

□ 원인 시나리오별 분석
1. 가상(유령) 기지국(Fake BTS)·불법 초소형 기지국(Femtocell) 활용 가능성
- 피해 지역 통화 이력에서 KT 관리망에 없는 미등록 기지국 ID가 발견됨
불법 초소형 기지국(펨토셀) 또는 IMSI Catcher 장비가 설치되어 단말을 강제 접속시킨 뒤, IMSI·GUTI 등 가입자 식별정보를 탈취했을 가능성 제기
- 과기정통부·KISA 조사에 따르면 약 1만9천여 명이 해당 신호를 수신했고, 이 중 5,561명은 IMSI 노출 가능성이 있음
- 국내에서 실제 금전 피해로 이어진 불법 기지국 기반 해킹은 이번이 최초 사례
→ 확인 필요: 불법 기지국 장비 실물 확보, 신호 송출 방식, 단말 로그 포렌식, IMSI Catcher 탐지 여부
2. 가맹점/PG사 시스템 침해·악용 가능성
- 피해 결제 내역이 특정 상품권·교통카드 충전에 집중됨
- 동일 PG사·가맹점 경로에서만 반복 발생했을 가능성이 높음
- 전문가들은 “불법 기지국을 통한 IMSI 탈취만으로는 인증 우회가 완벽히 설명되지 않는다”며, 결제 승인 과정의 보안 취약점이나 PG사 인증 로직의 허점이 연관됐을 가능성을 지적
→ 확인 필요: 결제 발생 MID(가맹점 ID), 승인 서버 로그, 가맹점·PG사 경로의 공통 취약점 여부
3. 통신사 계정/한도 관리 채널 악용
- 피해자 일부는 소액결제 한도가 임의 상향된 뒤 피해가 발생함
- 정상적 절차에서는 반드시 본인인증이 필요하나, 다수 피해자들은 한도 변경 승인 알림을 받지 못했다고 진술
- 이는 통신사 내부 인증 절차 우회 혹은 한도 변경 채널(앱/웹/API) 취약점이 악용됐을 가능성을 시사
→ 확인 필요 : 한도 변경 로그 추적, 내부 관리자 계정 접근 여부, API 호출 내역 분석
4. 피싱/악성앱 통한 원격 결제 가능성
- 전통적인 방식으로, 악성 앱·피싱을 통해 인증 코드 탈취 후 결제하는 유형.
- 다만 이번 사건 피해 단말에서는 악성 앱 설치 흔적이 현재까지 확인되지 않음.
→ 확인 필요 : 의심 URL 클릭 이력, SMS 인증로그, 단말 포렌식
5. 대리점·유통망 내부 정보 오남용 가능성
- 초기에는 특정 아파트 단지·생활권에서 피해가 집중 발생 → 내부 정보 오남용 가설 제기
- 그러나 피해자 개통 대리점이 다양해 직접적인 연관성은 낮아진 상태
- 다만 일부 전문가들은 “불법 기지국 단독 시나리오로는 본인 인증 절차 부재 현상을 완벽히 설명하기 어렵다”며, 유통망 내부 계정·정보 접근 권한 관리 부실 가능성은 여전히 열려 있다고 분석
→ 확인 필요 : 대리점·유통망 계정 접근 로그, 내부 직원 계정 통제 현황
□ 대응내역
- 경찰 : 경기남부경찰청 사이버수사대 수사 진행
- KISA : 침해사실 접수 및 기술적 분석
- 과기정통부 : 민관 합동조사단 운영, 불법 기지국 망 접속 전면 제한
- KT : 피해액 전액 미청구 방침 발표, 피해자 대상 무료 유심 교체 및 유심 보호 서비스 제공, 소액결제 한도 기본값 하향 및 차단 기능 강화, 본인 인증 절차 개선 검토 등
□ 재발방지대책(권고사항)
1. 기술적 조치
- 소액결제 한도 기본 0원 설정 및 2차 인증 강화
- 기지국 신뢰 검증·IMSI Catcher 탐지 기능 도입
- 새벽 시간대 이상 결제 패턴 탐지 고도화
2. 관리적 조치
- 통신사·PG사·가맹점 합동 점검
- 대리점·유통망 보안 관리 강화
- 비인가 기지국 탐지·대응 체계 마련
3. 이용자 권고
- 소액결제 한도 차단·0원 설정(소액결제 기능 원천 차단 신청)
- 요금 청구내역·알림 내역 상시 확인
- 의심 결제 즉시 114 및 경찰 신고
□ 관련기사(출처)
- 광명 이어 서울 금천서도 KT 소액결제 피해 신고…경찰 조사 - 한겨레
- KT 소액결제 해킹 사건, 경기남부경찰청 병합 수사 - YTN
- KT 이용자들 발칵… 광명 이어 서울에서도 피해 신고 잇따라 접수 - 위키트리
- 광명 이어 서울 금천구서도 소액결제 피해… 경찰 수사 - IT조선
- KT, 광명·금천 가입자 소액결제 피해..."적극적 협조 중" - 한스경제
- 광명·금천서 'KT 소액결제' 피해 잇따라…경기남부경찰청 병합 수사 - 뉴스1
- KT 피해자 개인정보 유출에 '불안'...경로 '오리무중' - YTN
감사합니다.