[기자수첩] KT, 펨토셀 해킹 대책 마련 급하다

[SRT(에스알 타임스) 문재호 기자] KT 자체 집계 결과 KT 통신망에 등록되지 않은 불법 초소형 기지국(펨토셀)에 접속해 발생한 무단 소액결제 피해 건수와 금액은 지난 10일 기준 278건, 약 1억7,000만원이다. 해당 불법 펨토셀의 유형과 비정상적 접속 방식 등 구체적인 원인을 규명하기 위한 민관합동조사단과 경찰이 수사가 진행하던 중 불법 펨토셀 신호 수신 이력이 있는 고객 5,561명의 가입자식별정보(IMSI)가 유출된 정황을 확인됐다. 해커가 펨토셀 해킹으로 문자 기반 일회용 비밀번호(OTP)를 탈취해 실제 은행 계정 탈취·금융 피해로 이어질 가능성이 존재한다. 이에 따라 KT는 모든 펨토셀에 대한 해킹 재발 방지책을 조속히 마련해야 한다.

펨토셀 해킹의 위험성은 이미 10여년 전 국내 연구진이 경고한 바 있다. 2014년 카이스트 연구팀은 펨토셀 해킹 시 문자와 관리자만 접근할 수 있는 비밀번호 등 민감한 정보가 노출될 수 있다는 취약점을 확인하고, 이를 통신 3사에 전달한 것으로 알려졌다. 그럼에도 KT가 대규모 펨토셀 운용에 의존해 온 점은 의문을 남긴다. KT는 민관합동조사가 끝나야 결과에 맞는 조처를 할 수 있다는 입장이다. KT 관계자는 “모든 전자기기는 해킹의 위협이 있다”며 “명확한 원인이 나오기 전 가설에 대해 답변을 줄 수 없다”고 말했다.

통신업계는 보안에 취약한 KT의 문자메시지 전송 방식이 해커의 공격대상이 된 것이 아니냐는 의혹을 제기했다. 휴대전화에서 문자메시지를 전송할 때는 일반적으로 두단계로 진행된다. 먼저 에어망을 통해 휴대전화와 기지국이 연결되고, 이어 코어망을 통해 기지국과 이동통신사의 중앙 서버가 연결된다. KT는 휴대전화와 펨토셀까지는 데이터가 암호화돼 전송되지만, 펨토셀 내부에서 암호가 해제돼 코어망으로 전달하는 방식을 취하고 있다. 이에 따라 펨토셀이 해킹되거나 등록되지 않은 기지국이 KT 네트워크에 연결되면 정보 탈취가 상대적으로 쉬워질 수 있다.

반면 SK텔레콤과 LG유플러스는 에어망에서 코어망까지 전 구간 암호화를 적용해 데이터를 안전하게 전송한다. 김용대 카이스트 전기및전자공학부 교수는 “두 가지 모두 기술 표준이지만 펨토셀 해킹 대응 측면에선 SK텔레콤와 LG유플러스 방식이 더 안전한 게 사실”이라고 설명했다. 

지난 9일 구성된 민관합동 수사단의 수사가 통상 한달에서 두달 정도 소요되는 점을 고려하면 KT가 운영 중인 펨토셀 15만7,000대를 이용하는 고객은 그동안 불안에 떨 수밖에 없다. 

KT가 펨토셀 해킹 사건에 늑장 대응과 피해 상황에 대해 입장을 번복한 것도 문제다. 경찰은 지난 1일 KT에 무단 소액결제 피해 사실을 통보했지만, KT 관계자들은 당시 "KT는 (해킹에) 뚫릴 수 없다”, “그런 일은 일어날 수 없다"는 취지로 답한 것으로 전해졌다. 지난 10일까지도 "개인정보 유출 정황은 없다"고 했으나 다음 날인 11일 "IMSI 5,561건이 외부로 유출됐을 가능성이 있다"고 입장을 바꿨다. 그 후 피해 신고가 급격히 늘어났다.

KT는 지난 8월 정보보호·보안에 5년에 걸쳐 1조원을 투입하겠다고 발표했다. 이는 이동통신사 가운데 최대다. 하지만 이 사건으로 KT에 대한 신뢰도 하락이 불가피해졌다. 이번 사태에서 드러난 것은 단순한 기술적 취약점이 아니다. 늑장 대응과 입장 번복이 오히려 소비자의 불안을 키우고 있다. KT는 이번 사태를 계기로 펨토셀을 활용한 해킹 방지책을 마련해야 할 뿐만 아니라 고객이 느끼는 불신과 불안을 해소해야 한다. 신속한 대응과 체계적인 사태 수습으로 이를 최소화해주기를 바란다.