CloudPNG

ºC

logo
IT/바이오

“펨토셀 감청 가능했다”…KT, 전고객 위약금 면제 카드

이소민 기자
입력

펨토셀로 불린 초소형 기지국이 문자와 통화까지 감청 가능한 취약점으로 드러나며 통신 보안 패러다임이 흔들리고 있다. 정부 민관합동조사단이 KT 이동통신망 관리 부실을 지적하고 모든 가입자에 대한 위약금 면제를 권고한 뒤, KT가 이틀 만에 전면 수용한 것이다. 통신서비스 사업자가 대규모 침해사고 책임을 인정하고 전 고객 위약금 면제와 5년간 1조원 보안 투자를 동시에 선언한 것은 국내 통신 산업에서 이례적인 조치로 평가된다. 업계에서는 이번 사태를 계기로 통신망 보안 투자와 규제 기준이 한층 강화되는 전환점이 될 가능성에 주목하고 있다.

 

KT는 30일 서울 광화문 본사에서 긴급 브리핑을 열고 지난 9월 1일부터 내년 1월 13일까지 가입을 해지했거나 해지할 예정인 고객 전원을 대상으로 위약금을 면제한다고 밝혔다. 대상 고객은 내년 1월 14일부터 31일까지 KT 홈페이지와 고객센터, 전국 매장에서 환급을 신청하면 이미 납부했거나 발생 예정인 위약금을 돌려받을 수 있다. 환급은 해지일과 신청일에 따라 내년 1월 22일, 2월 5일, 2월 19일 세 차례에 걸쳐 순차적으로 진행된다. KT는 신청 기간 동안 미신청 고객에게 3차례 개별 안내 문자도 보낼 계획이다.

위약금 면제 범위는 일반 이동통신 가입자로 한정된다. 9월 1일 이후 신규 가입이나 기기변경, 재약정을 한 고객과 알뜰폰, 사물인터넷 회선, 직권해지 가입자는 대상에서 제외된다. 사실상 침해사고 발생 전후로 KT를 떠난 고객과, 앞으로 위약금을 부담하며 해지를 고민하는 기존 고객에게 보상·구제 통로를 연 셈이다. 위약금은 장기약정이나 단말기 지원금을 조건으로 부과되는 계약 위반 비용으로, 통신사를 옮기거나 회선을 정리하려는 이용자에게 상당한 장벽으로 작용해왔다.

 

이번 결정은 과학기술정보통신부 민관합동조사단의 최종 조사 결과 발표 직후에 나왔다. 조사단은 KT가 관리하는 불법 초소형 기지국이 정상 망에 접속하면서, 이론적으로는 전체 이용자 문자와 통화 감청이 가능한 구조가 형성됐다고 분석했다. 특히 관리 체계와 탐지·차단 시스템이 적절히 작동하지 않아 부정 장비의 비정상 접속을 사전에 걸러내지 못한 점을 중대한 관리 부실로 지적했다. 조사단은 KT에 전체 이용자를 대상으로 한 위약금 면제와 재발방지 대책 수립을 권고했다.

 

펨토셀은 실내 음영지역 해소를 위해 사용하는 소형 기지국 장비로, 가정이나 사무실에 설치하는 공유기 형태로 쓰인다. 소형 장비지만 이동통신망의 기지국 역할을 수행하기 때문에 신뢰할 수 있는 장비만 망에 접속해야 한다. 이번 사건에서는 불법 개조된 펨토셀이 정상 기지국처럼 인식되면서, 해당 장비를 거치는 데이터가 외부로 유출될 수 있는 구조가 드러났다. 통화 내용 자체가 대규모로 유출된 정황이 확인된 것은 아니지만, 구조적으로 감청 가능성이 열려 있었다는 점이 문제의 핵심으로 지목됐다.

 

KT는 조사 결과 발표 직후부터 불법 기기의 비정상 접속을 차단하고, 전사 서버에 대한 정밀 점검과 악성코드 제거 작업에 착수했다. 각종 로그 데이터를 기반으로 비정상 트래픽을 추적하고, 기지국 인증 과정을 강화하는 등 이미 긴급 조치를 진행 중이라고 설명했다. 이번에 발표한 정보보안 혁신 계획은 이러한 단기 대응을 넘어, 네트워크와 서비스 전반의 보안 체계를 재설계하는 수준의 중장기 로드맵에 가깝다.

 

통신 이용자 보상 차원에서는 위약금 면제 외에도 통신요금 부담 경감을 위한 대규모 프로모션이 함께 제공된다. KT는 내년 1월 13일 기준 당사 이동통신 가입자를 대상으로 향후 6개월간 매월 100GB의 데이터를 자동으로 추가 지급한다. 소진 전까지 데이터 이용료 부담이 사실상 대폭 줄어드는 구조다. 다만 서비스 특성상 이용정지 상태이거나 사물인터넷 회선, 선불폰은 대상에서 제외된다.

 

해외 이용 고객을 겨냥해 로밍 데이터도 50퍼센트 추가 제공한다. 현재 운영 중인 로밍 관련 프로그램을 6개월 연장해 내년 8월까지 유지하고, 해외 출장과 여행 수요가 많은 이용자에게 체감 혜택을 확대한다는 계획이다. 글로벌 통신사 중 일부가 대규모 장애 발생 시 로밍 요금 감면이나 데이터 무제한 제공으로 보상한 사례와 유사한 접근이다.

 

콘텐츠 소비와 생활 밀착 혜택도 강화된다. KT는 자사 고객에게 온라인동영상서비스 두 종류 중 하나를 선택해 6개월간 무료로 이용할 수 있는 이용권을 제공한다. 구체적인 OTT 서비스명과 제공 조건은 추후 안내할 예정이다. 멤버십 제휴처 중심으로는 커피, 영화, 베이커리, 아이스크림 등 일상적으로 이용 빈도가 높은 가맹점의 할인율을 6개월간 확대해 운영한다. 이용자 입장에서는 직접적인 금전 보상보다는 통신·콘텐츠·생활 서비스 전반에 걸친 체감 혜택 패키지에 가깝다.

 

보안 불안 해소를 위해서는 일종의 사이버 사고 보험도 도입된다. KT는 휴대전화 피싱과 해킹, 인터넷 쇼핑몰 사기, 중고거래 사기 피해를 보상하는 안전·안심 보험을 2년간 제공하기로 했다. 특히 만 65세 이상 고령층의 경우 별도 신청 절차 없이 자동으로 가입 혜택을 받도록 설계해 디지털 취약 계층 보호를 강화하는 방안을 포함했다. 금융 사기와 전자상거래 피해가 늘어나는 상황에서 통신사가 보안 사고 예방뿐 아니라 피해 복구까지 일부 책임지는 모델로도 해석된다.

 

가장 눈에 띄는 변화는 내부 보안 거버넌스 재편이다. KT는 전사 차원의 정보보안 혁신 태스크포스를 출범시키고, 네트워크와 통신 서비스 전반의 관리 기준을 상향 조정한다. 장비·서버·공급망을 통합 관제하는 체계를 구축해, 특정 장비나 파트너사가 보안 약점이 되지 않도록 선제적으로 차단하겠다는 방침이다. 이는 개별 장비 수준의 보안이 아닌, 공급망 전체를 하나의 공격 표면으로 보고 관리하는 글로벌 보안 추세와 맞닿아 있다.

 

개인정보 보호 조직도 별도로 강화한다. 고객 데이터를 취급하는 모든 시스템에 대해 정밀 점검을 실시하고, 저장·전송·처리 단계별로 보안 수준을 끌어올릴 계획이다. 정보보안최고책임자를 축으로 한 책임 체계를 정비해, 보안 정책 수립과 사고 대응 의사결정 라인을 단일화한다는 구상이다. 경영진과 이사회를 대상으로 한 정기 보안 점검과 보고 체계를 강화해, 보안을 단순 기술 부서가 아닌 경영 의사결정 핵심 아젠다로 끌어올리겠다는 의미도 담겼다.

 

외부 검증도 확대된다. KT는 전문 보안기관과 협력해 정기 점검과 모의 해킹을 수행하고, 신규 서비스 출시 전 보안 취약점 진단을 의무화하는 방안도 검토 중인 것으로 알려졌다. 이는 과기정통부가 재발방지 대책으로 요구한 내용이기도 하다. 글로벌 통신사들이 국가 기간망 성격을 갖는 만큼, 정부와 외부 전문가가 관여하는 상시 보안 감사 체계를 운영하는 흐름과 유사한 방향이다.

 

중장기적으로 KT는 향후 5년간 약 1조원을 정보보안 분야에 투자하겠다고 밝혔다. 투자 방향의 핵심은 제로트러스트 보안 체계 확대다. 제로트러스트는 네트워크 내부·외부를 막론하고 어떤 사용자와 기기도 기본적으로 신뢰하지 않고, 접속 때마다 권한과 안전성을 검증하는 원칙을 말한다. 기존에는 사내망과 외부망을 구분해 내부는 비교적 신뢰하는 경향이 있었지만, 펨토셀과 같은 장비가 내부로 인식되는 순간 공격 경로가 열릴 수 있다는 점을 고려한 전환이다.

 

구체적으로는 통합 보안 관제를 고도화해 실시간으로 이상 징후를 탐지하고, 접근 권한 관리를 세분화해 최소 권한 원칙을 강화한다. 데이터와 주요 시스템에 대한 암호화 범위와 수준도 단계적으로 확대해, 설령 내부 침입이 발생하더라도 민감 정보가 그대로 노출되지 않도록 방어선을 여러 겹 쌓는 전략을 취한다. 국내외 주요 기업이 클라우드 전환과 함께 채택하고 있는 보안 아키텍처와 유사한 방향이다.

 

통신 시장 차원에서 보면 KT의 이번 조치는 고객 이탈을 최소화하려는 방어 전략이자, 규제 당국과의 갈등을 피하려는 수습책으로 해석된다. 대규모 위약금 면제와 데이터 제공은 단기적으로 수익성에 부담을 줄 수 있지만, 장기적으로 브랜드 신뢰 회복에 도움이 될 수 있다는 판단이 작용한 것으로 보인다. 경쟁사 입장에서는 직접적인 피해가 없었음에도 보안 투자와 관리 수준에 대한 압박이 커질 가능성이 있다.

 

해외에서는 통신망 보안 이슈가 국가 안보와 직결되는 사안으로 인식되고 있다. 미국과 유럽은 특정 국가 장비의 통신망 사용 제한과 함께, 통신사에 대한 보안 인증과 침해사고 보고 의무를 강화해왔다. 통신망 장비에서 발생하는 취약점과 내부 관리 부실이 결합할 경우, 대규모 감청과 데이터 유출로 이어질 수 있다는 점에서다. 이번 KT 사례는 국내에서도 통신사 보안 수준을 단순 서비스 품질이 아닌 공공 인프라 안전의 차원에서 재점검해야 한다는 인식을 확산시킬 수 있다.

 

전문가들은 향후 통신망 운영에 제로트러스트 개념이 본격 도입될 가능성을 점친다. 모든 기지국과 중계기, 펨토셀 등 말단 장비까지 고유 인증과 행위 기반 이상 탐지 시스템을 적용하고, 장비 공급망 단계에서부터 보안 검증을 의무화하는 방식이다. 여기에 더해, 보안 사고 발생 시 통신사가 감수해야 할 규제 리스크와 경제적 부담이 커지면서, 보안 투자가 선택이 아닌 필수가 되는 흐름도 가속될 전망이다.

 

김영섭 KT 대표는 브리핑에서 침해사고로 피해와 불안을 겪은 고객에게 거듭 사과하며 민관합동조사단의 조사 결과를 엄중하게 받아들이겠다고 강조했다. 그는 고객 피해와 불편을 줄이기 위한 실질적 보상과 함께, 정보보안 혁신 계획을 흔들림 없이 추진하겠다고 밝혔다. 통신 산업계는 KT의 조치가 실제로 고객 신뢰 회복과 보안 수준 제고로 이어질지, 그리고 강화되는 보안 기준이 전체 시장 구조에 어떤 변화를 가져올지 지켜보고 있다.

이소민 기자
share-band
밴드
URL복사
#kt#김영섭#펨토셀감청