“펨토셀 해킹 가능성”…KT, 가짜 기지국 소액결제 피해 차단 총력

불법 초소형 기지국 장비를 활용한 사이버 공격 가능성이 제기된 가운데, KT 이용자를 대상으로 한 무단 소액결제 사고가 통신 인프라 보안 논란을 촉발하고 있다. 펨토셀 해킹을 통한 ‘가짜 기지국’ 시나리오가 전문가들 사이에서 유력하게 거론되며, 통신망 보안 체계의 패러다임 변화가 불가피하다는 지적이 커지고 있다. 업계는 이번 사고를 ‘이동통신망 인증 위협’ 경쟁의 중대 분기점으로 평가하고 대응책 마련에 분주하다.

KT는 지난 8일 경기도 광명시와 서울 금천구 등에서 발생한 무단 소액결제 피해를 조사하던 중, 불법 초소형 기지국이 통신망에 접속해 인증정보를 탈취했을 가능성을 중점 점검 중이다. 과기정통부는 침해사고 신고 직후 현장 조사를 실시, 9일 새벽 KT에 모든 신규 초소형 기지국 접속 차단을 요구했고, KT는 개선책 이행에 착수했다. 회사 측은 “운영 중인 기지국과 해킹에 쓰인 불법 펨토셀이 동일하지 않다”면서도 “피해자들의 휴대폰이 비인가 장비에 연결됐을 상황을 배제하지 않고 광범위 점검에 나섰다”고 밝혔다.

보안 전문가들은 펨토셀의 구조적 한계에 주목한다. 펨토셀은 실내 통신품질 향상을 위해 보급된 초소형 기지국으로, 휴대전화에서 해당 장비까지는 트래픽이 암호화되나 펨토셀 내부에서는 복호화된 데이터가 처리된다. 해커가 중고 펨토셀을 입수, 펌웨어·시스템을 변조해 통신사 인증 절차를 우회하면 위장 기지국으로 동작이 가능하다는 게 핵심 분석이다. 사용자의 휴대폰은 신호가 가장 강한 기지국에 자동 연결되는 특성상, 위장 펨토셀이 특정 지역·아파트에서 ‘정상 기지국’으로 인식될 수 있다. 이때 인증코드, 문자, 음성통화 등 민감한 정보가 해커에게 평문 형태로 노출된다.

특히 이번 KT 피해처럼 수십 명 단위 동시 피해가 발생한 것은, 펨토셀 단독이 아닌 증폭기 추가 등의 복합 장비 운용이 있었을 수 있다는 해석도 나온다. 김용대 KAIST 교수는 “기존 펨토셀의 제한된 커버리지를 극복하려면 차량 등으로 이동하며 증폭 장치를 연계해 운용 가능하다”며 “전문적인 가짜 기지국(IMSI 캐처)은 구현이 까다롭지만, 펨토셀은 통신사가 이미 보급한 장비라 변종 해킹이 상대적으로 쉬운 편”이라고 설명했다.

통신망 구조적 허점을 악용한 이 같은 해킹은, 단순한 네트워크 장애·장비 오류를 넘어 통신 인프라의 고도화와 함께 데이터 유출, 무단 인증 등 신종 사이버 공격 수단으로 확산하는 양상이다. 더불어 피해가 새벽 시간대 특정 지역에서 집중됐고, 피해 방식도 모바일 상품권 구매 등으로 고도화된 점이 기존 통신사 해킹 패턴과 차별된다.

글로벌 시장에서도 기지국 위장, 펨토셀 해킹 등 통신망 기반 인증정보 탈취 공격은 블랙햇 컨퍼런스 등 보안 분야에서 반복적으로 경계돼 왔으나, 국내에서 실제 소액결제 피해로 이어진 것은 이번이 첫 사례다. 미국·유럽 등 주요국은 펨토셀 제조·설치 시 인증기반 접근통제, 펌웨어 조작 방지, 실시간 사용자 알림 등 통신사-정부 공동 방어체계를 강화하는 추세다.

정책적으로는 과기정통부가 이번 KT 사례에 따라, 비인가 통신장비 관리 기준 강화 및 불법 기지국 신속 차단 프로토콜 도입 등 법적·기술적 조치를 검토 중이다. 이동통신 인증 체계의 구조적 ‘망 신뢰성’ 확보가 핵심 과제로 떠오르는 셈이다.

김용대 교수는 “펨토셀이 표준 프로토콜 기반 장비라는 점에서 변조 장비 공격이 앞으로도 반복될 수 있다”며 “이용자, 통신사, 정책당국 모두 신규 보안 검증 체계와 비인가 장비 탐지 강화가 필요한 시기”라고 조언했다. 산업계는 이번 사고가 실제 시장의 통신망 신뢰성 제고와 인증 보안 아키텍처 혁신으로 이어질지 촉각을 곤두세우고 있다.