가짜 기지국 사칭 ‘SMS 블래스터’ 확산, KT 펨토셀과는 달라

By곽중희

보안 취약한 2G로 강등해 주변 단말에 악성 SMS 수만건 전송
전문가 “KT 소액결제 악용된 ‘펨토셀’과는 구분해야“

와이어드(WIRED) 등 외신에 따르면, 최근 사이버 범죄자들이 소형 장비인 ‘SMS 블래스터(SMS blaster)’를 이용해 주변 휴대전화로 대량의 스미싱 문자를 뿌리는 사례가 해외에서 계속 발생하고 있다.

SMS 블래스터는 차량이나 배낭에 넣을 수 있는 소형 송신기로, 주변 단말이 이를 가짜 기지국으로 인식하도록 유도한 뒤 기기를 보안이 취약한 2G 네트워크로 강제 다운그레이드해 악성 SMS를 직접 전송하는 장비다. 휴대폰이 더 강하거나 친숙한 무선 신호를 우선 선택하는 특성을 악용해 단말을 유인한다.

이 장비의 핵심 위협은 통신사업자가 적용하는 필터링·차단 체계를 우회한다는 점이다. 단말이 가짜 신호에 연결되면 발신자 ID 위조나 임의 문자 주입이 가능해 수신자가 알아채지 못한 채 악성 링크를 클릭하거나 개인정보를 노출할 위험이 커진다. 가입자 인증·암호 키 합의 절차(Authentication and Key Agreement, AKA)를 통과하지 못하면 공격자의 행위 범위는 제한되지만, 그 제한 범위 안에서 대량 스미싱·피싱에는 충분히 악용될 수 있다.

와이어드에 따르면, 일부 범죄자들은 장비를 차에 싣고 도시 곳곳을 이동하면서 SMS 블래스터로 무차별 문자를 전송했다. 일부 사건에서는 배낭 크기의 송신기를 사용해 보행자가 이동하면서 장비를 운용한 사례도 보고됐다. 이런 방식으로 일부 조직은 운전자를 고용해 정해진 루트를 따라 이동하면서 공격을 수행했고, 런던·방콕 등에서는 차량에 숨긴 장비를 압수해 체포한 사례도 확인됐다.

와이어드는 한 대의 블래스터로 반경 수백~1000m 내 단말에 단시간에 대량 문자를 뿌릴 수 있고, 4G로 단말을 포착한 뒤 2G로 다운그레이드해 SMS를 전송하는 전체 과정이 10초 이내에 끝날 수 있다고 전했다.

전문가들은 SMS 블래스터  공격에 대응하기 위한 방안으로 ▲휴대폰의 2G 연결을 차단하는 설정 활성화 ▲의심스러운 SMS의 링크 절대 클릭 금지 ▲의심 문자 발견 시 통신사·관할 당국에 신고 등의 기본 수칙을 권고했다. 국가 차원의 장비 유통 경로 차단, 국제 공조와 수사의지 강화도 병행돼야 한다는 지적이 나온다.

한편, SMS 블래스터는 최근 불거진 KT 소액결제 피해와는 메커니즘이 다르다. KT의 사례는 펨토셀(Femtocell)을 악용해 가입자 인증 절차를 우회하고 결제 시스템을 악용한 정황이 핵심으로 알려진다. 반면 SMS 블래스터는 가짜 기지국 계열 장비로, 인증을 뚫지는 않고 대량의 사기 문자를 단말기로 직접 전송하는 방식이다.

김용대 카이스트 전기및전자공학부 및 정보보호대학원 교수는 “사건 초기 다수 언론에서 ‘불법 초소형 기지국’을 펨토셀과 동일시해 설명하는 오류가 있었다”며 “가짜기지국과 펨토셀은 다르다“고 설명했다. 펨토셀은 통신사가 정식으로 공급·인증하는 장비인 반면, IMSI 캐처(IMSI catcher)나 SMS 블래스터는 AKA를 통과하지 못하기 때문에 감청·트래픽 가로채기보다는 주로 문자 주입에 특화된 도구라는 것이다.

한 보안학계 연구자는 “IMSI 캐처와 SMS 블래스터는 AKA를 통과할 수 없기 때문에 단순히 문자를 집어넣는 데에만 사용할 수 있으며, 중간에 트래픽을 모니터링하거나 가로채는 등의 행위는 난이도가 더 높은 영역”이라며 “그래서 불법 초소형 기지국이라는 단어로 뭉뚱그려질 수 있는 점들을 좀 더 명확하게 구분해서 써야 앞으로 오해가 없을 것”이라고 조언했다.

펨토셀은 통신사가 정식으로 공급하는 합법 장비로 가정이나 소규모 사무실에서 실내 통화 품질을 개선하기 위해 설치한다. 이와 달리, IMSI 캐처 등 가짜 기지국은 원래 군·수사기관이 위치 추적·감청 목적으로 사용하던 장비로 불법 사용 시 단말 식별자나 통화 데이터를 수집한다. SMS 블래스터는 이러한 가짜 기지국 기술을 범죄 목적에 맞게 단순화한 변종 장비로, AKA를 통과하지 못하는 경우가 많아 감청보다는 대량의 사기 문자 발송에 특화돼 있다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network

사람을 위한 보안을 취재합니다. 끝까지 배우며 글로 나아가겠습니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.