“펨토셀 2만4000대 방치”…KT, 관리 사각 해킹 우려 커진다

KT가 운영 중인 초소형 기지국 ‘펨토셀’ 장비의 관리 사각지대가 심각한 수준에 이른 것으로 나타났다. 최근 발생한 KT 무단 소액결제 사고에서 펨토셀이 해킹 공격수단으로 활용된 점이 드러나며, 산업계에서는 통신 인프라 보안 체계 전반에 대한 재점검 목소리가 높아지고 있다. KT가 밝힌 바에 따르면 전체 24만여대 펨토셀 중 최근 3개월 간 사용 이력이 없는 미연동 장비 4만3506대 중 2만4331대가 현재까지 실제 방치 상태로 파악된다. 회수 대수는 8190대로 18.8%에 그치고, 분실 역시 1만985대(25%)로 파악돼 관리 미비가 드러났다.

펨토셀은 실내 등 음영지역에서 기지국 신호를 보완하는 저출력 무선 통신장치로, 유선망·가입자 인증 등 최소 보안조치가 필수적이다. 그러나 미연동·미사용 장비가 다수 장기간 방치될 경우 위·변조, 불법 접속에 취약해진다. 특히 수도권 중심으로 회수율이 11.97%(서울 10.9%, 경기 12.7%)에 그치는 등 도심 개인정보 밀집지에서 취약점이 집중되는 양상이다. 반면, 강원(65.5%)·대구(55.1%) 등 기타 권역에서만 비교적 회수 진척이 이뤄지고 있다.

통신 인프라에서 펨토셀 보안관리 허점이 노출되면, 해커들은 불법 접속단말로 위장하거나 네트워크 경로를 탈취해 무단 결제·트래픽 조작 등 광범위한 피해를 입힐 가능성이 있다. 실제 이번 사고에서는 소규모 통신장비의 보안 관리 부실이 주요 공격 경로로 활용된 정황이 확인됐다.

미국·일본 등 선진국의 경우, 소형 기지국 장비 회수와 인증, 원격 모니터링 시스템 의무 구축이 이뤄지고 있다. 국내는 동의 기반 방문 점검 한계, 방치 기기 수거 거부 등 현장 애로가 적지 않다. KT는 방문 동의자 가입 혜택, 통신비 할인 쿠폰 등 인센티브를 동원 중이나, 한 달 가량 진행된 회수 조치에도 미진한 실적이 이어지고 있다.

정부는 정보통신기반 보호법 및 과학기술정보통신부 고시를 통해 통신장비 관리 규정을 두지만, 실효적 현장점검 방안 마련은 여전히 과제로 남아 있다. 국회에서는 미연동, 구조상 비인가 통신장비의 지속 방치가 “보안 사각지대”임을 지적하며 대응 강화 필요성을 계속 제기하고 있다.

전문가들은 기술이 발전할수록 네트워크 인프라 전반의 보안 취약점도 다양화된다는 점을 주목하고 있다. 한 정보통신보안연구원 관계자는 “펨토셀 등 저성능 통신장비의 실시간 관리체계 구축이 정보통신산업 보안의 최소 조건”이라며 “산업계·정부의 긴밀한 공조가 요구된다”고 강조했다. 산업계는 이번 사태를 계기로 관리 사각 해소와 인증체계 강화 여부에 촉각을 곤두세우고 있다.