“펨토셀 해킹에도 결제”…KT, 대규모 소액결제 사고로 보안 허점 논란

초소형 기지국 ‘펨토셀’이 KT 네트워크에서 무단 이동·접속되는 현상이 드러나며, 최근 대규모 소액결제 사고의 보안 구멍으로 지목받고 있다. ‘고정된 장소에서만 작동’이 원칙인 펨토셀이 차량에 실려 여럿 지역을 이동하면서 피해가 확산된 사실이 밝혀졌다. 업계는 KT가 경쟁사 대비 지나치게 많은 펨토셀을 운영하는 관리 사각지대, 장비 설치 및 인증 과정상 허점이 복합적으로 겹쳤다는 점에 주목한다. 아울러, 네트워크 내부 정보만으로 결제가 가능했는지, 서버 해킹과의 연동 가능성에 대한 조사도 병행되고 있다.

지난 22일 경찰 조사에 따르면, 피해자는 아파트 단지 인근을 돌며 불법 펨토셀을 차량에 탑재한 채 KT 망에 연속 접속, 무단 소액결제 피해가 360여 명 2억4000만 원 수준으로 집계됐다. 펨토셀은 반경 20~30m 소규모를 커버하는 음영지역 해소용 기지국으로, 정상적이라면 지정 위치 이탈 시 자동 차단되나 KT 망에서는 예외적으로 이동 중에도 접속이 지속된 것으로 나타났다. 업계 관계자는 “대부분 업체가 무단 이동 차단 기능에 의존하지만, KT는 최근 사용된 펨토셀만 18만9000대로 규모가 압도적으로 크다”며 “이와 관련한 관리 체계 허점이 이번 사고로 이어진 셈”이라고 설명했다.

SK텔레콤, LG유플러스 등은 사업자가 장비 설치·관리를 직접 진행하는 반면, KT는 소비자가 직접 장비를 설치하는 방식도 일부 적용해왔던 것으로 드러났다. 상대적으로 장비 반출·손쉬운 재설정이 가능한 구조였다. 펨토셀이 해외 온라인 유통망을 통해 쉽게 거래되는 점을 감안하면, 해커가 미등록 장비를 반입하거나 기존 KT 장비를 개조·악용했을 개연성도 제기됐다. 현재로선 기존 장비 개조 가능성에 무게가 실린다. KT 실무진 역시 “기존에 등록된 장비 연동일 가능성”이라며 “등록 ID만 노출됐고, 실물이 파악되지 않는 등 조사가 필요하다”고 밝혔다.

쏟아지는 관심은 네트워크 상의 단말·이용자 식별정보인 IMSI, IMEI와 실제 소액결제가 어떻게 연결됐는지다. KT는 통신망 수준에서는 이름·생년월일 등 개인정보가 저장되지 않는다고 했지만, 해커가 펨토셀 내 단말을 식별해 자체적으로 인증 문자·통화 패킷을 확보한 뒤, 유출된 서버 개인정보와 결합해 ‘본인 인증+결제’가 가능했을 가능성이 거론된다. KAIST 김용대 교수는 SNS를 통해 “펨토셀을 휴대 에그 등에 연결해 이동도청장치로 악용, 임의 지역에서 인증 패킷을 확보하고 인증·결제까지 시행할 수 있다”고 설명했다.

글로벌 기준과 달리, KT처럼 대량의 펨토셀이 상대적으로 느슨하게 관리되는 사례는 드물다. 미국·유럽 등에서는 사업자가 펨토셀 설치와 인증을 일괄 관리하고, 무선망 내 이동 감지 시 즉시 접속을 끊는 정책이 강제된다. 이번 같은 관리 사각의 원인은 KT 특유의 대규모 운영방식과 분산 설치 관행, 그리고 장비 인증체계의 한계 등 국내 시장 특수성에서 비롯된 것으로 분석된다.

전문가들은 “통신망–네트워크–서버의 복합적 해킹 가능성, 그리고 본인 인증·결제 절차상의 구조적 취약점이 드러난 사건”이라 평한다. 통신사·정부·사법당국 간 펨토셀 관리·감독 기준 강화와, 통신망 내 정보 보호 및 인증 프로세스 다중화 등 대대적 보안 체계 개편 요구도 커지고 있다. 산업계는 이번 사고를 계기로 펨토셀과 같은 IoT 기반 네트워크 인프라의 설계·운영·감시 체계가 전면 재점검될지 예의주시 중이다.