“펨토셀 인증관리 부실”…KT, 해킹 사고 은폐 논란에 법적 책임 쟁점

펨토셀 인증 및 통신망 관리의 구멍이 통신 산업의 신뢰 기반을 흔들고 있다. 최근 과학기술정보통신부 민관 합동 조사단의 중간 조사 결과, KT가 관리하는 서버 43대에서 ‘BPF도어’ 등 악성코드 감염을 은폐한 사실과 불법 펨토셀이 통신망에 무단 접속하는 보안 허점이 드러났다. 특히 펨토셀 인증서가 단일로 관리되고 유효기간이 10년으로 설정되면서, 이미 등록된 장비라면 무제한적으로 망 접근이 가능했던 구조였다. 해커가 인증서를 복제할 경우 불법 장비를 통한 통신망 침입은 물론, 종단 암호화 해제와 인증정보 평문 탈취 등 근본적인 보안 위협이 발생한 셈이다.  

KT는 내부망에서 비정상 IP를 차단하지 않고, 펨토셀 고유번호와 지역정보 등 형상정보의 진위도 검증하지 않은 것으로 조사됐다. 불법 펨토셀의 접근관리가 무력화되면서 부분적으로 소액결제 피해 등 2차 금융사고도 확인됐다. 정부는 이번 사안을 회사의 명백한 귀책 사유로 보고, 위약금 면제와 신규 영업정지 등 강도 높은 제재를 검토 중이다. 또한 전체 가입자 대상 유심 무상 교체 과정에서 영업 악용이 발생하면 행정지도에 나서겠다고 밝혔다.  

특히 조사 과정에서 불법 펨토셀이 통화 데이터 등 패킷 감청까지 가능하다는 점이 드러나며, 국가 통신망 전체의 보안 리스크가 도마에 올랐다. 정부는 소액결제 무단 피해뿐 아니라 통화감청 가능성에 대해서도 추가적인 포렌식과 조사를 이어간다는 방침이다.  

이 사안은 SK텔레콤 사례와도 비교된다. 과거 SK텔레콤도 유심 무상 교체 과정의 부당 영업으로 신규영업정지 행정지도를 받은 바 있다. 정부는 KT에 대해 SK텔레콤과 동일한 수준의 위약금 면제 권고와 법적 조치를 적용할 뜻을 내비쳤다. KT가 무단 소액결제 해킹 사실을 지연 신고하고, 백업 데이터를 은닉하는 등 의도적 조사 방해 정황도 드러나 형사 책임 고발까지 병행될 전망이다. 정보통신망법상 사고 신고를 지연·누락할 시 3000만원 이하 과태료도 부과된다.  

한편 KT는 이번 사고를 계기로 펨토셀 인증 절차와 서버 운영정책 전반을 개선했다고 밝혔다. 모든 펨토셀의 인증서를 폐기 후 재발급하고, 미인증 장비의 망 접속 차단, 소프트웨어 변조 탐지, 위치 이동 관리 등 통합 보안조치를 설명했다. 전문가들은 “출입 통제를 비롯한 통신망 관리정책의 일원화가 이번 사태의 근본적 재발 방지책”이라고 지적한다.  

산업계는 이번 KT 사고가 실제 통신산업 보안 표준 개선의 분기점이 될 수 있을지 주시하고 있다. 기술 보완 못지않게, 사용자 신뢰 및 제도·윤리 정비가 새로운 성장 기반이 될 것이라는 평가도 나온다.