“펨토셀 해킹에 ARS 우회”…KT, 소액결제 사고 재발 방지 총력

펨토셀(초소형 기지국) 해킹을 통한 무단 소액결제 사고가 통신업계에 경각심을 불러일으키고 있다. 최근 드러난 KT의 보안 취약점은 통신망 관리 체계와 인증 시스템의 근본적 개선 필요성을 부각시킨다. 특히 해커가 펨토셀 장비를 이용해 본인인증 ARS(음성응답시스템) 절차를 우회, 전 국민에게 금전적 피해 및 사회적 불안을 야기하면서, 업계는 재발 방지와 신뢰 회복이 최대 과제로 떠올랐다.

KT는 해당 사고가 미관리 펨토셀 장비의 해킹에서 비롯됐다고 공식 인정하며, 기존 ‘펨토셀 유효 인증 기간 10년’이라는 보안 정책이 허점으로 작용한 점을 시사했다. 해커가 네트워크에 오래도록 남아있던 펨토셀을 공략해, 통신망에 무단 접속한 뒤, 인증 프로세스에서 ARS 절차를 무력화하는 방식으로 소액결제를 진행한 것이다. 이로 인해 다수 고객의 정보 및 자산이 노출될 위험이 확대됐다.

기술적으로 펨토셀은 가정이나 사무실 등 실내 통신 환경을 개선하는 장치지만, 사용 종료 후에도 장시간 회수·삭제되지 않는 특성이 악용될 수 있다. 이에 산업계에선 “장비 인증기간 설정, 주기적 네트워크 정비 등 기본 보안 수칙이 재점검돼야 한다”는 지적이 이어진다. 실제 SK텔레콤은 미사용 펨토셀을 ‘일주일 추이+3개월 신호 미수신 시 망 삭제’ 정책을 운용 중으로, 기간 및 관리 정책에서 통신사별 편차도 부각되고 있다.

해외 주요 국가들은 통신 인프라 해킹 대응을 강화하며, IoT 기기 및 관련 인증 절차에 엄격한 데이터 삭제·사용자 식별 체계를 적용하고 있다. 이에 비해 국내의 펨토셀 인증 관리 주기는 지나치게 길다는 비판까지 제기되고 있다.

이번 사고의 ARS 인증 우회는 보이스피싱과 같은 2차 피해로 이어질 가능성도 있다. 업계 전문가들은 문자, 패스 앱 등 모바일 기반 인증 수단 역시 전체적으로 보안 취약점 여부를 전수 점검해야 한다고 조언한다. 실제 KT는 “ARS를 비롯해 다양한 본인확인 수단에 대해 추가 분석 중”이라고 답변했다.

한편, 국회 청문회 현장에서 김영섭 KT 대표는 “가정에 설치된 펨토셀 회수 관리 미비를 인정”하며, “일정 기간 미사용 펨토셀이 망에 붙지 못하도록 기술적 조치를 개시했다”고 밝혔다. ‘책임론’에 대한 사회적 비판이 있지만, 통신 3사 모두 근본적인 장비 관리 및 인증 체계 강화를 약속하고 있다.

정부는 향후 통신망 보안 가이드라인 재정비와 규제 강화 가능성까지 언급했다. 전문가들은 “분산형 기지국, IoT 등 디지털 인프라 확대에 따라 인증·회수 체계와 데이터 보안기준 정비가 필수”라고 분석한다. 산업계는 이번 기술적, 관리적 허점이 실질적 정책 변화와 신뢰 회복으로 이어질지 촉각을 곤두세워 지켜보고 있다.