“펨토셀 해킹 우려 13년 전 지적”…KT, 소액결제 피해 어디서 막혔나

펨토셀(Femtocell) 기술의 근본적 보안 취약성이 무시된 채 도입된 정황이 드러나며, 최근 KT 가입자 소액결제 무단 피해 사태의 배경으로 재조명되고 있다. 펨토셀은 초고속 인터넷망에 소형 기지를 연결해 이동통신 신호를 중계하는 장치다. 이번 대규모 해킹·피해 사례가 터지기 13년 전 이미 한국인터넷진흥원(KISA)이 보안 위협을 경고한 연구 결과를 발표했던 사실이 확인됐다. 업계는 이번 사태를 ‘이동통신 보안 정책의 경계’가 현실화된 전환점으로 본다.  

KISA가 2012년 연구개발비 4000만원을 투입해 진행한 ‘펨토셀 및 GRX(Global Roaming Exchange, 글로벌 로밍 네트워크) 보안 취약점 연구’ 보고서는, 세계적으로 권위 있는 미국 보안회사 iSEC 파트너스의 2013년 경고와 국내 학계의 2016년 논문보다 앞선 결과였다. KISA의 용역 제안서에는 펨토셀 환경에서 발생 가능한 총 29종의 보안 위협과, 이중에는 인증토큰 복제·MITM(Man-In-The-Middle, 중간자) 공격 등 최근 KT의 소액결제 피해 원인으로 지목된 핵심 위험도 포함됐다. MITM 공격은 통신 당사자 사이에 해커가 개입해 신원·정보를 탈취하는 방식으로, 단말-기지국 간 인증 절차가 취약할 경우 실제 사례로 이어질 수 있다.  

이 당시 SK텔레콤은 펨토셀을 본격 상용화했고, KT도 자사 유·무선망 결합을 추진하며 구조 검증에 착수한 시점이었다. 그러나 연구결과가 이후 실제 서비스의 보안 대책 수립까지 이어졌는지에 대해선 확인이 되지 않았고, 대다수 이동통신사는 펨토셀 서비스 확대 과정에서 독자적인 체계 개선을 실시하지 않은 것으로 알려졌다.  

국회 과학기술정보방송통신위원회 소속 이상휘 의원은 “13년 전 KISA가 이미 위험을 경고했지만, 연구만으로 그쳤고 실질적 제도 개선은 이뤄지지 않았다”며 정책적 무대응을 비판했다. KT 측 역시 정확한 해킹 경로 분석 및 보완책 발표 이전에 고객 피해 확산을 먼저 맞닥뜨렸다.  

글로벌 통신 보안업계에서는 미국, 유럽 등에서도 펨토셀·GRX의 인증 구조 취약점을 연구해왔고, 해외 통신사는 단계적 단말 인증 강화 등 기준 수립에 나선 바 있다. 하지만 국내에서는 실질적인 기술 표준 제정이나 서비스 보안인증 강화는 아직 미진한 실정이다. KISA 등은 최근 통신망 패러다임 변화 속 기초 보안 연구와 제도 연계가 필요하다고 지적한다.  

전문가들은 “펨토셀과 같이 인프라-단말 연동 기술은 해킹 위험이 시스템 구조에 내재된 만큼, 사전 연구와 실질 대책이 동행하지 않을 경우 제도 허점이 지속 노출될 수 있다”고 입을 모은다. 산업계는 이번 해킹 사태가 정책-기술 간 보안 거버넌스 공백을 메우는 계기가 될지 주목하고 있다.