당신의 휴대폰도 위험하다 - 차량용 가짜 기지국 SMS 피싱 사례와 대응법

정보보안
목차

실제상황입니다! 당신의 휴대폰이 지금 해킹당하고 있는지 확인하세요.
차 속에 은밀히 숨겨진 이동식 기지국이 사람들 곁으로 다가갑니다.
당신의 휴대폰에 “긴급! 계좌가 해킹되었습니다. 즉시 확인하세요"라는 문자가 도착하고,
당황하여 링크를 클릭하고 비밀번호를 입력하는 순간… 곧 계좌에서 현금을 탈취당합니다.
영화 같은 얘기지만 이것은 실제 일어나고 있는 일입니다.

2025년 3월, 런던에서는 중국 학생이 SUV로 5일간 돌며 수만 명에게 스미싱 문자메시지를 발송했습니다.
태국 방콕, 말레이시아 그리고 뉴질랜드에서도 가짜 문자메시지가 뿌려지는 사건이 있었습니다.

도대체 무슨 일인지, 우리는 어떻게 해야 하는지 지금 확인해 보세요.

문자에 대한 의심

지난주 퇴근길에 또 이상한 문자가 왔습니다.
“귀하의 계좌에서 이상거래가 감지되었습니다. 즉시 확인하세요.” 뭐 이런 식이었죠.
평소 같으면 그냥 삭제했을 텐데, 최근 뉴스를 보니 좀 다른 생각이 들더라고요.

요즘 사이버 범죄자들이 쓰는 수법이 정말 소름끼칠 정도로 정교해졌거든요.
‘SMS 블라스터’라는 장비를 차에 싣고 돌아다니면서 주변 휴대폰에 가짜 문자를 뿌리고 다닌다는 얘기를 들었습니다.
그것도 시간당 10만 건씩 말이죠.

사실 저도 처음엔 좀 의심스러웠어요.
그런 게 정말 가능한가 싶어서 관련 뉴스들을 찾아봤는데…

와, 대박.. 요즘은 해킹을 이렇게까지도 하네요. 깜놀했습니다.

SMS 블라스터란

간단히 말하면 가짜 기지국입니다.
정상적인 통신사 기지국처럼 위장해서 주변 휴대폰들을 속여 연결시킨 다음에 피싱 문자를 마구 뿌리는 거죠.

작동 원리가 좀 무서워요. 우리 휴대폰은 보통 가장 신호가 강한 기지국에 자동으로 연결되잖아요?
이 SMS 블라스터가 바로 그걸 이용하는 겁니다.
정상 기지국보다 더 강한 신호를 내보내서 휴대폰을 낚아채는 거예요.

연결되면 통신 방식을 2G로 강제로 낮춰버립니다.
2G는 보안이 약해서 조작하기 쉽거든요.
그다음에 피싱 문자를 보내고 다시 정상 통신망으로 돌려보내는데, 이 전 과정이 10초도 안 걸린다고 하네요.

피해자 입장에서는 뭔가 이상했다는 걸 눈치채기도 어렵죠. 그냥 평소처럼 문자 하나 받은 것 같으니까요.

이참에 궁금해서 SMS 블라스터(SMS Blaster)에 대해 좀 더 찾아보았어요.
제가 찾은 내용을 아래에 정리합니다.

SMS 블라스터(SMS Blaster)란 무엇인가?

SMS 블라스터는 이동형 가짜 기지국 장비로, 커버리지 범위 내의 모든 휴대폰에 메시지를 전송할 수 있는 시스템입니다. (https://www.septier.com/portfolio-item/sms-blaster/)
더 정확히 말하면 **IMSI 캐처(IMSI Catcher)**라고도 불리는 이 장비는 정상적인 이동통신 기지국으로 위장하여 휴대폰과 통신사의 실제 기지국 사이에서 중간자 공격(MITM)을 수행하는 장치입니다. (https://en.wikipedia.org/wiki/IMSI-catcher)

SMS 블라스터 작동 원리

SMS 블라스터는 아래의 방식으로 작동한다고 하네요.

  1. 신호 강도 조작: 휴대폰은 항상 가장 강한 신호의 기지국에 자동으로 연결되는데, SMS 블라스터가 정상 기지국보다 더 강한 신호를 보내 휴대폰을 유인합니다.
  2. 2G 강제 다운그레이드: 연결된 휴대폰을 보안이 약한 2G 네트워크로 강제로 다운그레이드하여 암호화를 무력화 시킵니다.
  3. 직접 메시지 전송: 시간당 최대 100,000건의 SMS 메시지를 직접 전송할 수 있으며, 발신자 정보도 임의로 조작 가능 합니다.
  4. 정상망 복귀: 메시지 전송 후 휴대폰을 다시 정상 통신망으로 돌려보냅니다.

SMS 블라스터의 악의적 사용

사이버 범죄자들이 SMS 블라스터를 선호할 만합니다.
통신사의 스팸 차단 시스템을 완전히 우회하여 피싱 URL이 포함된 메시지를 직접 전달할 수 있거든요.
통신사를 거치지 않으니 스팸 필터링이 되지 않고 바로 스마트폰에 전송되는 것입니다.
게다가 이 장비를 차량에 넣어두고 이동하면서 많은 사람들에게 사이버 공격을 수행해도 발각되지 않을 수 있습니다.
추적이 어렵고 정상 기지국인 것처럼 위장하니 범죄자를 잡기 어려운 문제점이 있습니다.

전 세계에서 발생

이 SMS 블라스터 공격이 생각보다 훨씬 심각한 상황입니다.
처음에는 동남아시아에서 시작됐다가 지금은 전 세계로 번지고 있습니다.

스위스에서는 정부 사이버보안센터가 직접 경고를 내렸고, 영국에서는 중국인 학생이 혼다 차 트렁크에 SMS 블라스터를 숨기고 런던 시내를 돌아다니며 수만 건의 가짜 메시지를 보내다 잡혔습니다. 그것도 1년형을 받았다고 하네요.

일본에서도 도쿄와 오사카에서 발견됐고, 인도네시아 자카르타, 브라질 상파울루, 심지어 뉴질랜드까지…
정말 안 당한 곳이 없어요.

특히 뉴질랜드 사건이 인상적이었는데, 19살 청년이 오클랜드에서 하룻밤에 700건의 가짜 은행 문자를 보냈다고 해요.
다행히 2단계 인증 덕분에 실제 피해는 없었지만, 그 기술력과 파급력을 보면 정말 섬뜩하더라고요.

최근 한국의 사례

최근에는 한국에도 사건이 발생하였습니다.
KT 소액결제 해킹 사건이 바로 이런 방식이었거든요.

며칠 전에 중국인 피의자가 붙잡혔는데 뉴스에서 보니 “윗선이 지시한대로 했을 뿐이다"라고 말을 하네요.
그래서 한국 경찰은 중국의 전문 범죄조직의 소행이 아닌가 의심하고 있다고 합니다.
‘KT 소액 결제’ 중국인 피의자 “윗선이 아파트 많은 곳으로 가라 지시”

중국인 해커 2명이 펨토셀이라는 소형 기지국을 차에 싣고 다니면서 KT 이용자들의 휴대폰을 해킹했어요.
펜토셀은 원래 통신사가 실내 통신 품질을 높이려고 설치하는 정상적인 장비인데, 관리가 허술해서 외부로 유출된 거 같습니다.

이들의 수법이 정말 정교합니다.
피해자의 이름, 전화번호, 생년월일로 소액결제를 시도하면 본인확인 전화가 오는데
그 전화를 펨토셀로 가로채서 대신 받아 인증을 완료한 것입니다.

피해 규모도 만만치 않았습니다.
278건에 1억 7천만 원, 확인된 피해자만 5,561명이었어요.

통신사의 방치

가장 무서운 건 통신사들이 이걸 막을 방법이 거의 없다는 거예요.

평소 스팸 문자는 통신사 망을 거쳐서 오니까 어느 정도 필터링이 가능합니다.
요즘은 URL 포함된 문자는 아예 차단하는 통신사도 있고요. 우리나라 정부도 민생회복 소비쿠폰 안내 문자에 URL을 넣지 않은 것도 그런 이유죠.

하지만 SMS 블라스터는 정식 통신망을 우회합니다.
가짜 기지국이 직접 휴대폰과 연결되니까 기존 보안 시스템이 무용지물이 되는 겁니다.

마치 집 앞 도로에서 누군가 확성기 들고 “여러분 은행에서 나왔습니다!“라고 소리치는 것과 비슷한 상황이죠.
아무리 집 안에 보안 시스템이 좋아도 밖에서 직접 접근하면 막을 도리가 없으니까요.

SMS 블라스터 피싱 공격 글로벌 사례 정리

이참에 세계적으로 어떠한 유사 사례가 있는지 조사해 보았습니다.
이 블로그에 방문하시는 누군가에게는 도움이 되기를 바랍니다.

아시아 지역

태국

1) 방콕 대규모 SMS 블라스터 공격 (2024년 11월)

  • 발생 사건: 중국인 조직이 방콕 수쿰빗 지구에서 3km 반경 SMS 블라스터로 3일간 약 100만 건 메시지 발송 (시간당 10만 건 전송 가능)
  • 피해 정도: “포인트 만료” 사칭 메시지로 신용카드 정보 탈취, 해외 계좌로 결제 진행
  • 처리 결과: 35세 중국인 운전자 체포, 중국인 조직원 2명에 대한 체포영장 발부
  • URL: 상세내용

2) 방콕 연쇄 SMS 블라스터 공격 (2025년 8월)

  • 발생 사건: 8월 8일과 15일 일주일 간격으로 연속 검거, 중국 조직원이 태국인 고용하여 운영
  • 피해 정도: 방콕 번화가 순회하며 피싱 메시지 발송
  • 처리 결과: 태국인 운전자들 체포, 중국 조직원과의 연결고리 확인
  • URL: 상세내용

3) 관광가이드 위장 SMS 블라스터 (2025년 1월)

  • 발생 사건: 중국인 2명이 관광가이드로 위장하여 방콕에서 SMS 블라스터 운영
  • 피해 정도: 관광지역 대상 피싱 메시지 발송
  • 처리 결과: 중국인 2명 체포
  • URL: 상세내용

필리핀

1) 대규모 사이버 범죄 조직 검거 (2025년 3월)

  • 발생 사건: POGO(해외 온라인 도박) 관련 사이버 범죄 조직 180명 체포, SMS 블라스터 장비 발견
  • 피해 정도: 일본, 대만, 베트남, 말레이시아, 몽골, 브라질 등 다국적 피해자 대상
  • 처리 결과: 180명 체포, 중국인 16명 포함 다국적 조직 해체
  • URL: 상세내용

2) SMS 블라스터 수입업자 체포 (2025년 1월)

  • 발생 사건: 말레이시아인 SMS 블라스터 수입업자가 60만 페소(약 1만 500달러)에 장비 판매
  • 피해 정도: 필리핀, 캄보디아, 중국, 태국에 장비 공급
  • 처리 결과: 46세 말레이시아인 체포, 사이버 범죄 예방법 등 다수 법률 위반 기소
  • URL: 상세내용

말레이시아

쿠알라룸푸르 SMS 블라스터 조직 (2024년 11월)

  • 발생 사건: 클랑 밸리 지역에서 2대 차량으로 SMS 블라스터 운영, 일일 3만 2천명 대상
  • 피해 정도: 통신사 포인트 사칭으로 약 11만 7천 링깃(2만 6천 300달러) 피해
  • 처리 결과: 4명 체포, 운전자들에게 일당 300링깃(67.5달러) 지급 확인
  • URL: 상세내용

인도네시아

자카르타 SMS 블라스터 공격 (2025년 6월)

  • 발생 사건: 말레이시아인 2명이 자카르타에서 은행 사칭 SMS 블라스터 운영
  • 피해 정도: 수도권 대상 대규모 피싱 메시지 발송
  • 처리 결과: 말레이시아인 2명 체포, 공범 1명 수배 중
  • URL: 상세내용

일본

도쿄/오사카 SMS 블라스터 발견 (2025년 4월)

  • 발생 사건: ‘Radio Yakuza’ 아마추어 탐정이 NTT 도코모 사칭 불법 기지국 발견
  • 피해 정도: 도쿄와 오사카에서 중국 조직 연관 SMS 블라스터 운영 의심
  • 처리 결과: 정부 차원의 명확한 대응 부족, 장관 질의응답 회피
  • URL: 상세내용

홍콩

정부 서비스 사칭 공격 (2025년 2월)

  • 발생 사건: 23세 남성이 SMS 블라스터로 정부 서비스 사칭하여 신용카드 정보 수집
  • 피해 정도: 정부 기관 사칭으로 개인정보 및 신용카드 정보 탈취
  • 처리 결과: 23세 남성 체포
  • URL: 상세내용

유럽 지역

영국

런던 대규모 스미싱 공격 (2025년 3월)

  • 발생 사건: 중국 학생이 SUV에 SMS 블라스터 장착하고 런던 전역에서 5일간 운영
  • 피해 정도: 수만 명 대상으로 Gov.uk, 주요 은행 사칭 메시지 발송
  • 처리 결과: 중국 학생 1년 징역형, 영국 통신사들과 경찰 협력으로 검거
  • URL: 상세내용

스위스

SMS 블라스터 공격 급증 (2025년)

  • 발생 사건: 스위스 사이버보안센터가 SMS 블라스터 공격 신고 급증 경고
  • 피해 정도: 가짜 벌금 고지서 등으로 신용카드 정보 탈취 시도
  • 처리 결과: 정부 차원의 공식 경고 발령
  • URL: 상세내용

중동 지역

오만

무스카트 SMS 블라스터 공격 (2025년)

  • 발생 사건: 중국 관광객이 무스카트 시내를 돌며 현지 은행 사칭 피싱 페이지로 유도
  • 피해 정도: 오만 시민들 대상 은행 사칭 피싱 공격
  • 처리 결과: 중국 관광객 체포
  • URL: 상세내용

오세아니아

뉴질랜드

오클랜드 SMS 블라스터 공격 (2025년 초)

  • 발생 사건: 중국 기반 조직과 오클랜드 10대가 협력하여 자동차 배터리로 SMS 블라스터 운영
  • 피해 정도: ASB, ANZ 은행 고객 대상 하룻밤 수백 건 가짜 은행 메시지 발송
  • 처리 결과: 협력 조직 검거
  • URL: 상세내용

남미

브라질

상파울루 SMS 블라스터 조직 해체 (2025년 5월)

  • 발생 사건: 상파울루 남부에서 통신 신호 간섭 신고로 SMS 블라스터 조직 발견
  • 피해 정도: 도시 남부 지역 대상 피싱 메시지 발송
  • 처리 결과: 현지 통신사 신고로 당국이 SMS 블라스터 조직 해체
  • URL: 상세내용

범죄자들의 진짜 선호 이유

사실 SMS 블라스터가 저렴하지는 않다고 합니다. 비용이 많이 들어요.
몇천 달러에서 3만 5천 달러까지 하거든요.
그런데도 범죄자들이 이걸 쓰는 이유가 있다고 합니다.

첫째는 확실한 메시지 전달률이에요.
일반적인 스팸 문자는 아무리 많이 보내도 10% 정도만 실제로 도달한다고 해요.
하지만 SMS 블라스터는 거의 100% 전달됩니다.
2G만 활성화되어 있으면 무조건 받게 되거든요.

둘째는 진짜처럼 보이게 만들 수 있다는 거예요.
발송자 정보부터 내용까지 완전히 조작 가능하니까 은행이나 정부기관에서 보낸 것처럼 꾸밀 수 있어요.

셋째는 이동성입니다.
차에 싣고 다니면서 여러 지역을 돌아다닐 수 있으니까 추적도 어렵고 피해 규모도 키울 수 있죠.

대처 방법

가장 확실한 방법은 휴대폰에서 2G를 꺼버리는 거예요.
SMS 블라스터가 2G의 취약점을 노리니까요.

안드로이드는 버전 12부터 2G 비활성화 설정이 있습니다.
아이폰은 좀 복잡한데, 잠금 모드(Lockdown Mode)를 켜면 2G가 자동으로 꺼져요.
하지만 잠금 모드는 다른 기능들도 많이 제한되니까 일상 사용하기는 좀 불편할 거예요.

그런데 문제는 이걸 아는 사람이 많지 않다는 거죠.
대부분은 그냥 평소처럼 휴대폰 쓰다가 당하게 될 거 같아요.

구글은 안드로이드 16에서 가짜 기지국에 연결되면 경고 알림을 보여주는 기능을 추가했다고 하네요.
그래도 이미 연결된 후의 일이니까 완전한 해결책은 아니지만요.

아래 내용은 이번 기회에 좀 더 정리해 보려고 기술적인 방법과 주의사항을 인터넷을 찾아보았습니다.
아래 내용이 이 블로그에 방문하는 누군가에게는 도움이 되기를 바랍니다~

1. 기술적 차단 방법

2G 네트워크 완전 비활성화

  • 안드로이드 설정 방법:

    • 버전 12 이상: 설정 → 네트워크 및 인터넷 → 모바일 네트워크 → 기본 설정 → 2G 사용 안함
    • 삼성 갤럭시: 설정 → 연결 → 모바일 네트워크 → 네트워크 모드 → 5G/4G/3G 자동 연결 선택
    • LG: 설정 → 네트워크 → 모바일 네트워크 → 네트워크 유형 → LTE/WCDMA 선택

  • iPhone 설정 방법:

    • iOS 16 이상: 설정 → 개인정보 보호 및 보안 → 잠금 모드 활성화 (2G 자동 차단)
    • 또는 설정 → 셀룰러 → 셀룰러 데이터 옵션 → 음성 및 데이터 → LTE 선택
    • 잠금 모드의 단점: FaceTime 통화 차단, 메시지 첨부파일 제한, 웹 브라우저 기능 제한 등

네트워크 모니터링 앱 활용

  • 안드로이드: CellMapper, Network Cell Info, OpenSignal
  • iPhone: Network Analyzer, WiFi Analyzer
  • 이상한 기지국 신호나 급격한 네트워크 변경을 감지하여 경고

2. 행동 수칙 및 예방법

의심스러운 문자 판별법

  • 금융기관, 정부기관을 사칭하는 긴급 메시지 주의
  • URL 단축 서비스(bit.ly, tinyurl 등) 링크 절대 클릭 금지
  • 개인정보 입력 요구하는 링크는 100% 사기로 간주
  • 송금, 결제 관련 급박한 요구사항은 반드시 공식 채널로 확인

즉시 대응 방법

  1. 의심스러운 문자 수신 시 즉시 삭제
  2. 해당 기관(은행, 카드사)에 직접 전화로 확인
  3. 링크 클릭했다면 즉시 비밀번호 변경
  4. 개인정보 입력했다면 관련 계정 보안 점검

정부와 통신사의 과제

개인이 할 수 있는 건 한계가 있습니다.
결국 정부와 통신사 차원에서 대응해야 할 부분이 더 크죠.

먼저 SMS 블라스터 장비 자체에 대한 규제가 필요해 보입니다.
지금은 온라인에서 몇천 달러면 쉽게 살 수 있거든요.
정당한 용도로 쓰이는 경우도 있겠지만, 등록제나 허가제 같은 걸 도입해야 하지 않을까 싶어요.

통신사들도 좀 더 적극적으로 나서야 할 것 같습니다.
네트워크 가장자리에서 이상한 트래픽 패턴을 모니터링한다거나, 불법 기지국을 탐지하는 장비를 설치한다거나 하는 식으로요.

한국에서 일어났던 KT 사건에서 드러난 펨토셀 관리 문제도 심각하죠.
한국 안에 15만 대나 설치했던 장비를 제대로 회수하지 못해서 외부로 유출된 게 아닌가 싶어요.
이런 통신 장비들의 생명주기 관리를 더 철저히 해야겠어요.

결국 의심하는 습관이 최고의 방어

기술적인 대응도 중요하지만, 결국은 우리가 조심하는 수밖에 없는 거 같습니다.

요청하지도 않은 문자에 있는 링크는 절대 누르지 말고, 금융기관이나 정부기관을 사칭한 메시지가 오면 일단 의심해 보는 거죠.
진짜 급한 일이면 직접 해당 기관에 전화해서 확인하면 되거든요.

SMS 블라스터 때문에 문자 사기가 더 정교해지고 빨라졌지만, 사람의 욕심과 불안을 자극하는 건 예전과 똑같아요.

“빨리 클릭하지 않으면 큰일 난다"는 식의 메시지를 받으면 일단 한 번 더 생각해 보는 게 좋을 것 같습니다.

아, 그리고 이상한 문자 받으면 방송통신위원회나 경찰청에 신고하는 것도 잊지 마세요.
개별 피해는 작을지 몰라도 신고가 쌓이면 범죄 집단 검거에 도움이 되거든요.

SMS 블라스터라는 새로운 위협이 우리 생활 깊숙이 파고들고 있습니다.
기술이 발전할수록 범죄 수법도 정교해지는 게 현실이지만, 그래도 기본적인 경계심만 잃지 않으면 충분히 막을 수 있다고 생각해요.

여러분은 최근에 이상한 문자 받아보신 적 있으신가요?
혹시 의심스러운 게 있으시면 댓글로 공유해 주시면 좋겠어요.
서로 정보를 나누는 것도 이런 사기를 막는 좋은 방법이니까요.