KT 소액결제 해킹 사건에 관하여..
[KT 소액결제 해킹 사건]
먼저 내 추리는 틀릴 수가 있다고 가정한다.
오늘 나의 벗 나의 친구 나의 회사동료가 KT 소액결제 해킹 사태의 주인공이 되었다.
IT인으로써 폰을 좋아했던 한사람으로써 그리고 원래 이런류의 추리를 좋아하는 한 사람으로써 GPT와 추리놀이를 진행하였다.
먼저 피해자 모임 오픈채팅방의 공식 정보를 바탕으로
1. 대부분 100만원이하의 소액이 밤사이 결제되었으며
2. PASS앱, 상품권 깡이 이루어졌다.
3. 카카오톡과 당근을 탈취한 번호로 재로그인 시도하였다.
먼저 71만원을 해킹당한 나의 벗을 소개하자면 원래 모바일 보안관련일을 하고 있고 폰에 보안으로 방탄을 두르고 다니며, 유심복제 기변을 막기위해, 스마트폰 자동 부팅기능 또한 막고다니고 있는 벗이다.
그런 벗이 털렸다. ( 벗의 말을 빌려보자면 도파민이 돌기 시작했다고 한다 )
해킹당하지 않은 나도 도파민이 같이 돌았다. 원래 이런걸 너무 즐거워한다. 인터넷에서 사람찾는걸 좋아하기도하고 캐는걸 좋아하기도한다.
먼저 고려할 수 있는 정보를 확인해보자.
1. 범인은 앱을 통해 스마트폰을 직접 해킹한것은 아니다.
-> 이 경우 내 벗이 털릴 가능성이 0에 수렴하고, 스마트폰을 직접 해킹했다면 SMS 하이재킹이 불가능하다.
무슨말이냐면 당근이나 카카오톡 인증을 할때 문자의 내역이 내 문자 수신함에 있어야 한다.
그러나 그런 문자내역은 없다.
2. 유력하게 의심이 되었던건 유심복제다.
-> 이경우, 찐 사용자가 잠들어 있는 틈을 타 새로 유심을 타 폰에 인식 후
모든 SMS를 가로챌 수 있다. 그러나 이 또한 가능성에 그쳤다. 유심이 복제되어 다른 폰에 꼽혔다면, 통신사 서버에 기기변동이력이 남아야 한다. 그러나 그런 내역은 역시 없다.
그렇다면 위 두가지의 경우를 제외한다면 유심복제를 하지 않고 원격지에서 내 SMS를 가로 챘을 수 있다는 가정을 할 수 있다. HOW?
자 위의 경우가 불가능하다고 생각하는가? 여러가지 가능성이 있지만 내가 생각 하는 가능성은 두가지이다.
첫번째 SMS 게이트웨이 내부 유출 / 중간 탈취
– 국내외 일부 서비스들은 실제 문자전송을 통신사 -> 중간 게이트웨이 업체 -> 최종 사용자의 구조로 보낸다.
이 경우 중간 게이트웨이 업체가 해잌되거나 내부자가 유출하면 문자 전송 요청 로그는 남지만 실제 단말로는 전달되지 않는 현상이 발생할 수 있다
두번째 IMSI/SS7 취약점을 활용하여 해킹
– 이경우는 실제 해외 해킹 사례가 있고 국제통신망(SS7프로토콜)의 오래된 취약점을 통해 특정 번호의 SMS를 다른 기기로 복제 수신이 가능하다. 실제 해외에서는 은행OTP탈취에 쓰인적이 많다.
첫번째는 인재이고 두번째는 악재이다.
첫번째 케이스와 두번째 케이스의 둘다 가능성을 점쳤던것은 피해자들의 지역적인 관련성이다. 광명 금천에 몰린 사람들이 대다수 털렸고, KT로 집중되어 있다.
통신사가 털렸을 경우 , 피해는 전국적이어야한다. 크래커가 수집한 정보중에 광명 금천구 사람들만 골라내 소액결제 했다는것은 불가능하다. 즉 지역적인 무언가다. 광명 금천을 담당하는 게이트웨이 ? 가능성이 있다.
둘째는 모든 보안 업체에서 한국도 위기지역이다 라고 경고한 로컬 기지국 공격의 가능성이다.
나는 이 가능성을 제일 크게 보고 있다.
가짜 로컬 기지국 공격이란 (불법 IMSI-CATCHER) 원래 정상적인 기지국보다 더 가까이 신호를 쏴서 폰이 해당 가짜 기지국에 붙도록 유도한다. 붙는 순간 IMSI, IMEI, 전화번호가 털린다.
IMSI가 뭐냐고? 아래기사를 꼭 참고해라
https://news.kbs.co.kr/news/pc/view/view.do?ncd=8258690&ref=A
이여튼~~ 왜 두번째 공격에 무게를 두고 있느냐함은, 나의 벗은 광명 금천 구역을 자동차로 ‘지’,’나’,’가’,’기’만 했다. 가짜 로컬 지기국 공격을 위해서는 노트북과 안테나만 있으면 가능하다. 뭐 블로그를 보니 해당 기기가
알리바바에서 팔리기도 했다고 한다.
https://blog.naver.com/typhoon846/223805448878
위 블로그에서 보다시피 구하는건 어렵지 않다. 할라면 누구나(?){이정도까지 쉽진않다} 할수 있다.
이렇게 수집한 IMEI와 IMEI로 글로번 통신 신호망(SS7,LTE에서는 Diameter)을 통해 메세지 위조를 하여
실제 나의 벗에게는 메세지가 도착하지않고 가로챌수 있다. 즉 이렇게 하면, 문자 전달 경로 자체를 다른 노드로 우회시킬 수 있어, 피해자 단말은 받지 못하고 공격자 장비가 수신이 가능하다.
물론 SMSC(메세지센터) 레벨에서 스푸핑을 통해 IMSI를 알아내고 통신사 내부계정/게이트웨이까지 뚫었다면
해당 번호의 문자 전달을 중단하거나, 다른곳으로 포워딩이 가능하다. 이 경우엔 가짜 기지국 없이도 가능하지만, 설마 코리아팀 파이팅 K~~~~~T~~가? 절대 그랬을리 없다고 생각이 든다.
혹자는 IMSI가 서버측에만 있다고 하는데 실제로 그렇지 않다. 해당 정보는 유심에 있고, 최초 통신사와 통신할 때
IMSI정보를 송신한다. 그리고 TMSI로 통신할텐데, 어차피 가짜 기지국이 너 TMSI몰라. IMSI내놔 라고 명령한다면
유심은 IMSI를 다시 송신한다. 그럼 IMSI를 단말측에서 수집이 가능하다.
네이바를 뒤지다가 포지티브테크놀러지 대표가 한말이 있다.
김성준 포지티브테크놀로지스코리아 대표는 “해킹 기술이 발달하면서 롱텀에벌루션(LTE) 기지국 신호를 방해하거나, 정당한 연결인 것처럼 속이는 가짜 기지국을 이용한 공격이 증가하고 있다”며 “특정 장소 내 단말에서 LTE가 2G·3G로 인위적으로 전환(fallback) 처리되는 상황이 자주 발생한다면 통신망에 대해 주의를 기울이고 살펴봐야 한다”고 설명했다.
해커가 시중에서 쉽게 구할 수 있는 다양한 무선 전파발신 장비에 자체 소프트웨어(SW)를 설치하는 방식으로 가짜 기지국을 구축해 이동통신망을 공격하는 사례가 발견되고 있다.
https://www.etnews.com/20220113000161
여튼 나는 이 사건을 어떻게 흐르는지 매우 궁금하다. 어떻게 뚫고 어떻게 도망갔을까 너무 너무 궁금해서 오픈결말로 끝난다면 진짜 죽어버릴것이다.
