최근 KT 가입자를 대상으로 발생한 무단 소액결제 사건과 개인정보 유출을 두고 통신사 측의 보안체계 미흡이 근본적인 원인이라는 지적이 나온다. 무려 10여년 전부터 보안 취약성에 대한 경고가 있었음에도 불구하고 대처하지 않아 발생한 '인재'(人災)라는 것이다.
15일 업계에 따르면 과학기술정보통신부는 KT 소액결제 피해 원인을 '불법 초소형 기지국'(펨토셀)을 통한 통신망 접속으로 보고 조사에 임하고 있다. KT 관리시스템에 등록되지 않은 미인가 기지국 ID가 망에 접속한 기록이 확인되면서 펨토셀이 주요 해킹 통로로 활용된 것으로 추정중이다. 다만 불법 펨토셀의 존재만 확인됐을 뿐, 실물이 확보되지 않았기 때문에 KT 통신망 접속을 위한 키값과 인증절차 등 보안체계를 어떻게 돌파했는지에 대해서는 밝혀진 것이 없다.
KT 측은 "기존 운영 중인 펨토셀이 직접 해킹당한 정황은 포착되지 않았다"며 "사용 후 폐기된 펨토셀 장비를 범인이 취득해 불법으로 사용한 것으로 추정중"이라고 설명했다.
펨토셀은 건물 내 통신 음영지역을 해소하거나 트래픽을 분산시키는 역할로 크기가 손바닥만하다. 아파트 등 공동주택이나 공공장소의 벽면 등에 주로 설치된다. KT가 지난 2013년 세계 최초로 광대역 롱텀에볼루션(LTE) 홈 펨토셀을 개발하면서 본격 상용화되기 시작했다. KT가 15만대를 사용하고 있고, SK텔레콤이 1만여대, LG유플러스가 2만8000대를 사용중이다.
그런데 펨토셀에 대한 보안취약 문제는 이미 2014년에 지적됐던 것으로 알려졌다. 당시 한국과학기술원(KAIST) 통신보안 연구팀은 펨토셀이 해킹을 당하면 관리자만 접근할 수 있는 비밀번호까지 탈취 가능한 보안취약점이 있다는 사실을 실험을 통해 포착하고, 이를 KT를 포함한 이통3사에 알렸다. 또 2016년 한국정보처리학회는 '위협 모델링 기법을 이용한 펨토셀 취약점 분석에 대한 연구' 논문을 내고 "기지국 포화 상태를 막기 위해 펨토셀을 보급하는데, 이를 해킹당하면 개인정보 노출과 같은 심각한 문제가 발생할 수 있다"고 경고했다.
미국 보안기업 iSEC파트너스도 지난 2013년 해외 매체를 통해 "펨토셀을 해킹해 사용자의 전화번호를 가로채고, 문자메시지와 통화내용을 확인할 수 있다"고 밝히며 "펨토셀 이용을 위해선 철저한 보안체계가 반드시 동반돼야 한다"고 지적했다. 실제로 보안전문가들은 미국 최대 통신사 버라이즌의 펨토셀을 해킹해 스마트폰 통화내용과 문자메시지, 인터넷 사용데이터 등을 가로채는 과정을 시연하기도 했다.
그러나 이같은 경고에도 불구하고 이통3사는 통신망 암호화를 통한 보안성을 강화할 뿐 펨토셀 자체의 보안성을 강화하기 위한 노력은 없었던 것으로 알려졌다. 특히 KT는 사용 후 교체 및 폐기한 펨토셀을 제대로 관리조차 하지 않았던 것으로 확인됐다.
피해가 발생한 뒤 임시방편 차원의 보안대책에서 끝낼 게 아니라 국가 차원의 선제적 대응 제도 도입으로 피해가 발생하기 전에 막아야 한다는 주장도 나온다.
예를들어 미국의 경우 본인인증 취약점을 노린 심(SIM) 스와핑 범죄가 발생하자 2024년부터 SIM 교체나 번호이동을 처리하기전 신원확인 절차를 의무화했고, 해당 절차 시도가 발생하면 반드시 고객에게 통지하도록 제도를 마련해 피해 발생을 원천적으로 막았다. 유럽연합(EU)은 2018년부터 전자소액결제 상한선을 건당 50유로(약 8만1500원), 월 300유로로 제한해 피해 규모를 줄이고, 결제시스템 이용시 2차 인증을 의무화했다.
보안업계 한 전문가는 뉴스트리와 통화에서 "펨토셀 보안 취약성에 대한 경고는 이전부터 있었지만 KT를 비롯한 국내 이통사들은 뚜렷한 보안 강화책을 내놓지 않았다"라고 지적했다. 이어 "통신사 측의 보안 시스템도 중요하지만, 근본적인 피해를 막으려면 해외의 대처 사례를 참고해 선제적인 대응 제도 마련이 필요하다"고 덧붙였다.
한편 KT는 이번 무단 소액결제로 발생한 모든 금전적 피해를 책임짐과 동시에 개인정보 유출이 의심되는 피해자를 대상으로 유심무료교체 조치를 취하겠다고 밝혔다.
Copyright @ NEWSTREE All rights reserved.
