지난 Part 1에서 우리는 양자(Quantum), 인공지능(AI), 지능형 지속 위협(APT), 공급망(Supply Chain)이 결합된
QAAS(Quantum-AI-APT-Supply Chain)라는 새로운 위협의 등장을 다루고, 기존 보안 패러다임이 왜 이를 막을 수 없는지 살펴보았다.
지난 QAAS의 시대(상) 보기
이론은 현실에서 증명되는 법이다.
이번 Part 2에서는 QAAS 위협이 실제 현실 속에서 어떻게 작동하며 기존 보안 체계를 무력화했는지,
SKT/LGU+ 침해 사고, KT 펨토셀 사건, Arup 딥페이크 사기, 레바논 무선 호출기 폭발 사건 등 구체적인 사례를 통해 분석해본다.
1. APT와 인증 체계의 붕괴: LGU+, SKT 침해 사건
가장 전형적인 '수년 잠복 후 핵심 인증체계 탈취' 패턴을 보여준 대표적인 사례는 통신사 APT 침해 사고다.
이 사건은 단순한 해킹이 아니라 모바일 보안의 근간인 인증 체계를 흔들었다는 점에서 시사하는 바가 크다고 할 수 있다.
- 공격의 흐름: 웹서버 취약점으로 침투 → 내부망 이동 → BPFDoor 백도어 설치
- 피해 규모: 23개의 리눅스 서버 감염, HSS(Home Subscriber Server) 핵심 인증 서버 장악
- 치명적 결과: 26,957,749건의 IMSI(국제모바일가입자식별번호)와 291,831건의 IMEI, 그리고 무엇보다 Ki(가입자 인증키)값 대량 탈취
Why it matters:
Ki 값을 탈취당했다는 것은 공격자가 유심(USIM)을 복제하여 SMS와 통화를 가로채고, 2FA(2단계 인증)마저 우회할 수 있게 됨을 의미한다.
이는 APT의 지속성, 인증 체계 침투, 내부망 확산, 중요 키 탈취가 결합된 전형적인 QAAS 패턴이라고 할 수 있다.
2. 공급망 변조: KT 펨토셀(Femtocell) 사건
KT 펨토셀 사건은 하드웨어와 소프트웨어 공급망의 취약점이 어떻게 금전적 피해로 이어지는지, 공급망 위협이 왜 치명적인지 가장 명확히 보여준다.
- 취약점: 펨토셀의 인증키가 소프트웨어 기반으로 되어 있어 복제가 가능했고, KT의 정책상 Cyphering Fallback(암호화 해제 허용)이 가능하여
평문 SMS가 노출될 위험 보유
- 공격 방식: 공격자는 불법 펨토셀 20여 대를 설치해 사용자 단말이 이를 정상 기지국으로 오인하게 만든 뒤("위조 기지국")
SMS·IMSI·IMEI 탈취
- 피해: 22,000여 명의 개인정보 유출, 무단 소액 결제로 20만 달러 이상의 금전 피해가 발생
Why it matters:
이 사건은 공급망 변조+인증 취약성+통신 프로토콜의 허점이 결합했을 때, 통신 인프라의 신뢰 구조가 어떻게 붕괴하는지를 보여주는 정교한
QAAS형 공격이라 할 수 있다.
3. AI가 신뢰(Trust)를 공격하다: Arup 딥페이크 송금 사기
출처: https://fortune.com/europe/2024/05/17/arup-deepfake-fraud-scam-victim-hong-kong-25-million-cfo/
기술적 취약점만이 문제가 아니다. 영국 엔지니어링 기업 Arup의 사례는 AI가 인간의 '판단력'을 해킹하는 시대가 왔음을 보여주는 사례이다.
- 사건 개요: AI로 생성된 가짜 임원(Deepfake)들이 화상회의에 참석했고, 이를 진짜로 믿은 직원이 약 330억 송금
- 핵심 포인트: 기존의 보안 시스템이 아무것도 탐지하지 못했다는 점, 공격의 본질이 시스템을 침투하는 ‘기술’이 아닌,
사람의 '신뢰(Trust)'를 무너뜨리는 데 있었다는 점
Why it matters:
AI는 이제 단순한 도구가 아니라, 심리적·사회적 공격을 수행하는 주체가 되고 있음을 단적으로 보여주는 사례이다.
4. 일상 기기의 무기화: Internet of Bombs
출처: https://asiatimes.com/2024/09/the-weaponization-of-everything-has-begun/
2024년 레바논에서 발생한 무선 호출기 및 무전기 폭발 사건은 공급망 공격의 끝이 어디인지를 보여주는 충격적인 사례라고 할 수 있다.
- 사건 내용: 원격 명령을 통해 일반 통신 기기가 폭발하여 40명 이상이 사망하고 3,000명 이상이 부상을 입음.
- SDW의 등장: 단순한 사이버 공격을 넘어, 디바이스 자체가 폭탄(SDW: Software-Defined Weapon)이 된 공급망 공격
Why it matters:
우리가 사용하는 일반 소비자 장비가 무기화될 수 있다는 사실은 전 세계 공급망 신뢰 체계의 붕괴를 의미한다고 할 수 있지 않을까?
결론: QAAS는 '사건'이 아닌 '환경'이다
위의 네 가지 사례—통신망 탈취, 펨토셀 복제, 딥페이크 사기, 기기 폭발—의 공통점은 명확하다.
QAAS는 단일 공격 유형이 아니라 복합적인 공격 구조라는 점이다.
- Quantum: 암호 무력화
- AI: 공격의 자동화 및 사회공학적 속임수
- APT: 장기간 잠복 및 시스템 장악
- Supply Chain: 하드웨어·펌웨어의 무결성 붕괴
이 요소들이 결합된 환경에서 기존의 보안 패러다임은 더 이상 유효하지 않다고 본다.
이제 우리에게는 기술의 단순 조합이 아닌, 보안 아키텍처의 철학적 전환이 필요한 시점이다.
다음 Part 2에서는 QAAS 시대의 유일한 대안, PAZI (Post-Quantum + AI + Zero Trust + Identity) 모델에 대해 구체적으로 알아보겠다.
| CMO(Chief Marketing Officer), ICTK CTO(Chief Technical Officer), ICTK Director, Cisco Systems Korea Developer, SK Teletech |
Read more
지난 Part 1에서 우리는 양자(Quantum), 인공지능(AI), 지능형 지속 위협(APT), 공급망(Supply Chain)이 결합된
QAAS(Quantum-AI-APT-Supply Chain)라는 새로운 위협의 등장을 다루고, 기존 보안 패러다임이 왜 이를 막을 수 없는지 살펴보았다.
지난 QAAS의 시대(상) 보기
이론은 현실에서 증명되는 법이다.
이번 Part 2에서는 QAAS 위협이 실제 현실 속에서 어떻게 작동하며 기존 보안 체계를 무력화했는지,
SKT/LGU+ 침해 사고, KT 펨토셀 사건, Arup 딥페이크 사기, 레바논 무선 호출기 폭발 사건 등 구체적인 사례를 통해 분석해본다.
1. APT와 인증 체계의 붕괴: LGU+, SKT 침해 사건
가장 전형적인 '수년 잠복 후 핵심 인증체계 탈취' 패턴을 보여준 대표적인 사례는 통신사 APT 침해 사고다.
이 사건은 단순한 해킹이 아니라 모바일 보안의 근간인 인증 체계를 흔들었다는 점에서 시사하는 바가 크다고 할 수 있다.
Why it matters:
Ki 값을 탈취당했다는 것은 공격자가 유심(USIM)을 복제하여 SMS와 통화를 가로채고, 2FA(2단계 인증)마저 우회할 수 있게 됨을 의미한다.
이는 APT의 지속성, 인증 체계 침투, 내부망 확산, 중요 키 탈취가 결합된 전형적인 QAAS 패턴이라고 할 수 있다.
2. 공급망 변조: KT 펨토셀(Femtocell) 사건
KT 펨토셀 사건은 하드웨어와 소프트웨어 공급망의 취약점이 어떻게 금전적 피해로 이어지는지, 공급망 위협이 왜 치명적인지 가장 명확히 보여준다.
평문 SMS가 노출될 위험 보유
SMS·IMSI·IMEI 탈취
Why it matters:
이 사건은 공급망 변조+인증 취약성+통신 프로토콜의 허점이 결합했을 때, 통신 인프라의 신뢰 구조가 어떻게 붕괴하는지를 보여주는 정교한
QAAS형 공격이라 할 수 있다.
3. AI가 신뢰(Trust)를 공격하다: Arup 딥페이크 송금 사기
출처: https://fortune.com/europe/2024/05/17/arup-deepfake-fraud-scam-victim-hong-kong-25-million-cfo/
기술적 취약점만이 문제가 아니다. 영국 엔지니어링 기업 Arup의 사례는 AI가 인간의 '판단력'을 해킹하는 시대가 왔음을 보여주는 사례이다.
사람의 '신뢰(Trust)'를 무너뜨리는 데 있었다는 점
Why it matters:
AI는 이제 단순한 도구가 아니라, 심리적·사회적 공격을 수행하는 주체가 되고 있음을 단적으로 보여주는 사례이다.
4. 일상 기기의 무기화: Internet of Bombs
출처: https://asiatimes.com/2024/09/the-weaponization-of-everything-has-begun/
2024년 레바논에서 발생한 무선 호출기 및 무전기 폭발 사건은 공급망 공격의 끝이 어디인지를 보여주는 충격적인 사례라고 할 수 있다.
Why it matters:
우리가 사용하는 일반 소비자 장비가 무기화될 수 있다는 사실은 전 세계 공급망 신뢰 체계의 붕괴를 의미한다고 할 수 있지 않을까?
결론: QAAS는 '사건'이 아닌 '환경'이다
위의 네 가지 사례—통신망 탈취, 펨토셀 복제, 딥페이크 사기, 기기 폭발—의 공통점은 명확하다.
QAAS는 단일 공격 유형이 아니라 복합적인 공격 구조라는 점이다.
이 요소들이 결합된 환경에서 기존의 보안 패러다임은 더 이상 유효하지 않다고 본다.
이제 우리에게는 기술의 단순 조합이 아닌, 보안 아키텍처의 철학적 전환이 필요한 시점이다.
다음 Part 2에서는 QAAS 시대의 유일한 대안, PAZI (Post-Quantum + AI + Zero Trust + Identity) 모델에 대해 구체적으로 알아보겠다.
CMO(Chief Marketing Officer), ICTK
CTO(Chief Technical Officer), ICTK
Director, Cisco Systems Korea
Developer, SK Teletech
Read more