“펨토셀로 암호화 해제”…KT, 통신망 인증정보 유출 파장

불법 펨토셀을 활용한 해킹 기법이 국내 통신망의 보안 패러다임을 흔들고 있다. 해커가 KT의 내부망 관리 취약점을 이용, 암호화 체계를 뚫고 ARS·문자 기반 소액결제 인증정보를 직접 탈취한 사실이 드러났다. 과학기술정보통신부는 민관합동조사단 중간조사를 통해 KT의 펨토셀 장비 전반에서 구조적 취약점이 확인됐다고 6일 밝혔다. 업계는 이번 사안을 통신서비스 신뢰와 정보보호 문제의 분기점으로 바라본다.

KT 해킹 사고는 일상적으로 사용되는 펨토셀 장비의 인증서 관리가 부실했던 데 기인한다. 모든 펨토셀이 동일한 인증서를 적용받아 복제가 쉽게 이뤄졌고, 이 유효기간이 최대 10년에 달해 한번 KT망에 접속한 펨토셀은 장기간 내부망 연결이 가능했다. 제조사는 별도 보안장치 없이 셀ID, 인증서, 내부망 접속주소 등 핵심정보를 외주사에 제공했고, 불법 펨토셀 사용자는 이 정보를 추출해 실제 KT망에 불법 접속하는 방식으로 내부 네트워크를 장악했다. 또한 KT는 비정상적 IP 접속 시 차단, 접속 이력 검증 등 1차 방어기능도 제대로 작동하지 않았다.

기술적으로, 해커가 불법 펨토셀을 통해 종단(End-to-End) 암호화 구간을 해제하면서 진입장벽이 무너졌다. 실험결과, 암호화가 해제된 시스템에서는 ARS 인증번호, 문자 메시지 등 각종 인증정보가 평문(암호화되지 않은 데이터) 상태로 불법 펨토셀에 전송될 수 있음이 입증됐다. 소액결제 등 민감 프로세스는 별도의 개인정보 확인 없이 인증절차가 이뤄지기도 했다. IT표준(3GPP, TTA)에 따라 단말-기지국 및 단말-코어망 구간이 암호화돼 있지만, 인증서·ID 기반 구조의 보안 홀로 인해 실효성이 떨어진 셈이다. 펨토셀 하드웨어·소프트웨어를 결합해 패킷 가로채기 등 해킹을 구현했다는 것이 보안 전문가들의 판단이다.

실제 피해 규모는 조사 초반 단계지만, 2023년 8월~2024년 9월 10일 사이 불법 펨토셀 ID 20개가 포착됐고, 2만2000여 명이 여기에 접속했다. KT는 가입자 식별번호(IMSI), 단말기 식별번호(IMEI), 전화번호 등이 유출된 사실을 확인했으며, 368명에게 2억4300만원 상당의 무단 소액결제 피해가 발생했다고 발표했다. 통신기록이 완전치 않아, 추가 피해 규모는 아직 산정 중이다.

글로벌 통신업계에서는 이미 펨토셀 등 소형 기지국의 보안 취약점이 이슈화되고 있다. 미국, 유럽 주요 기업은 인증서 개별화, 접속IP 화이트리스트 적용 등 하드웨어·네트워크 이중 인증 구조를 강화하는 방향으로 대응 중이다. 반면 국내에서는 펨토셀과 본사 네트워크 연계의 실시간 검증 체계가 상대적으로 뒤처져 있다는 지적도 제기된다.

공공정책적으로, 당국은 KT의 침해 징후 발견 및 신고 지연을 문제 삼았다. KT는 무단 소액결제 징후를 포착한 후 차단까지 4일, 침해 사실 확인 후 공식 신고까지 3일이 경과했다. 또, 보안전문지 조사에 언급된 국가배후 조직 연루 가능성, 서버 폐기 및 백업로그 미보고 등 진상조사의 난항도 확인됐다. 정부는 위계에 의한 공무집행방해로 수사기관에 KT를 수사 의뢰했다. 수사와 별개로, 개인정보위는 무단 소액결제 과정에서의 개인정보 유출 경로를 별도 분석한다는 방침이다.

업계에서는 KT의 인증·망관리 구조가 신속하게 개편되지 않을 경우, 이동통신 전체 신뢰기반이 흔들릴 수 있다고 우려한다. 동시에 IoT 기기, 디지털 헬스케어 등 바이오 융합 서비스 확산에 따라, 암호화·접속 인증체계 전반의 표준화·고도화 과제가 더욱 중요해진 것으로 보고 있다. 최근 조사단 실험에서, 기지국 접속 이력이 남지 않은 숨은 피해까지 확인된 만큼, 피해 규모와 산업적 여파는 장기화될 가능성도 있다.

산업계는 이번 사태가 보안설계와 인증관리, 외부 위협 인지 사이클의 대대적 전환점이 될지 촉각을 곤두세우고 있다. 기술과 윤리, 산업과 제도 간 균형이 새로운 성장의 조건이 되고 있다.