KT 가 최근에 털린 펨토셀 크레덴셜을 이용한 가짜 기지국 사태에 대한 대응으로 심 카드 교체를 들고 나왔다. 이는 정말 이것 말고는 방법이 없기 때문일까, 아니면 단순한 보안 극장일까요?
우선 현재 알려진 KT 에게서 compromise 된 것들은 다음과 같습니다.
- HeNB 에서 추출된 IPSec 키 세트
- Rogue cell tower 에 접속한 UE 들에게서 발생된 트래픽 (VoLTE SIP 평문 데이터 포함)
- MSISDN(전화번호)
- IMEI (URN 형태로 SIP REGISTER 로 전달됨)
- 심 카드의 IMSI
이 중, 현재까지 알려진 정보로는, SKT 사건과는 다르게, 심 카드와 HSS 간의 비밀 정보인 K/OPc 정보는 누출되지 않았습니다. 이는 현재 알려진 정보, 혹은 공격자가 공격했으리라고 예상되는 경로로는 심 카드를 복제할 수 없다는 것이죠.
하지만 KT 는 심 카드 교체를 선택했습니다.
이로부터 우리가 추정해볼 수 있는 KT의 내부 상황은 다음과 같습니다.
주의: 해당 상황의 시나리오 2는 가능성이 낮은 시나리오입니다. 2025-11-06T15:15+09:00 업데이트: 내부망 침투 사실 은폐 정황이 있어, 해당 가능성에 대해서도 무시할 수 없는 상태입니다. https://n.news.naver.com/article/028/0002775005
- KT 가 보안 극장을 열었다
- 옆집 SKT 가 심 교체라는 걸 해야 할 정도까지 털려버렸고, 심 교체를 진행했으니, 우리도 아무튼 심 교체를 하면 VOC 가 안 나오겠지! 라는 생각으로 심 교체를 진행했을 것이다
- 아무래도 심 교체라는 보여주는 뭔가를 하면 국감에서도 덜 두들겨 맞겠지…
- KT 내부 상태가 생각보다 더 맛이 가 있다
- 심 OTA 를 통해 심 카드의 IMSI 를 로테이션하는 코드를 작성하는 것마저 힘든 상황이다
- … 아니면 진짜로 HSS 까지 털린 것이 내부적으로 확인이 되었다
어느 시나리오던 간에, 그다지 좋은 그림이 나오지는 않습니다. 뭐 차이가 있다면 첫 번째는 공익을 갉아먹고 두 번째는 KT 역량에 구멍이 아주 시원하게 나 있다는 차이가 있겠지만요.
도보시오
TTAK.KO-06.0357/R3 (참고: TTA는 퍼머링크를 깨먹는 매우 나쁜 습성이 있습니다. 미래에 깨지더라도 제 탓 아님)