“KT 스마트폰 문자 암호화 해제”…국정원, 해킹 취약성 정조준

KT 일부 스마트폰 단말기에서 문자 메시지 데이터의 암호화가 해제돼 제3자에게 노출될 우려가 드러났다. 국회 과학기술정보방송통신위원회 소속 최민희 위원장에 따르면, 국가정보원은 지난 9월 KT 일부 스마트폰 단말에서 문자 통신 암호화가 풀리는 문제를 직접 확인하고, 이를 과학기술정보통신부와 KT 측에 즉각 통보했다. 문자 데이터는 통상 이동통신사의 국제표준화기구(ISO) 및 한국정보통신기술협회(TTA) 지침에 따라, 메시지 전송 초기부터 수신 완료까지 종단 간 암호화(end-to-end encryption)를 거쳐 제3자가 복호화할 수 없도록 설계돼 있다. 하지만 국정원은 일부 KT 단말에서 이 과정이 정상적으로 작동하지 않아, 평문 노출 위험이 발생하는 현장을 검증했다.

아직 해당 암호화 해제가 구체적으로 어떤 단말에서, 어떤 방식으로 발생했는지에 대한 정보는 공개되지 않았다. 또한 실제 개인정보 유출로 이어졌는지는 조사 중이나, 국정원은 문자 내용이 제3자—즉 외부 해커나 내부 공격자—에게 노출될 가능성을 중대하게 보고 이를 국가 기간통신망 보안 이슈로 판단했다. 이 소식을 접수한 민관합동조사단은 KT 전체 가입자를 대상으로 해당 현상이 재발할 위험성이 있는지 전수조사에 착수했으며, 펨토셀 등 불법 기지국을 통해 ARS 인증 및 문자 데이터가 암호화 없이 유출되는지까지 기술적으로 검증하고 있다.

최근 KT 통신망은 문자 암호화 허점 외에도 치명적인 악성코드 공격까지 드러나며 통신보안의 중요한 시험대에 올랐다. 지난해 3월 KT 서버 43대가 ‘BPF도어(BPFDoor)’ 악성코드에 감염된 사실이 포렌식으로 밝혀졌으며, 보안업체 트렌드마이크로가 해당 악성코드의 국내 통신사 공격을 분석했던 바 있다. 특히 KT 측이 침해 사실을 인지하고도 사고 자체와, 외부 보안업체의 백신 요청 사실을 공개하지 않은 채 조직적으로 은폐했다는 정황까지 드러나면서, 통신사들의 취약점 관리·투명성 문제가 새롭게 부상했다.

글로벌 주요 통신사들도 미국과 유럽 등지에서 유사한 암호화·보안 침해 공세에 노출된 바 있으며, 해외에서는 암호화 미이행이나 취약점 은폐가 적발될 경우 거액의 벌금 등 강력한 규제와 제재 조치가 집행되고 있다. 지금까지 국내 통신사들은 ISO, TTA 등 국제 인증에 준해 암호화 체계를 도입해왔지만, 현장 검증과 투명한 공개, 사고 대응 프로토콜에서는 글로벌 기준 대비 미흡하다는 지적이 여전하다.

이번 국정원의 긴급 통보와 후속 조사 결과에 따라, 향후 통신망 암호화 설계 기준 강화, 보안사고 대응 감시체계, 그리고 통신사의 사고 은폐에 따른 법적 책임 강화 논의도 본격화될 것으로 전망된다. 전문가들은 “국가 기간통신망의 보안 취약성은 단순히 한 기업의 문제가 아니라, 전체 국민 개인정보 안전과 직결되는 만큼 투명 disclosure(사실 공개)와 강력한 기술·제도 보완이 선행돼야 한다”고 판단하고 있다. 산업계는 이번 사태가 실제 시장 내 보안 내성 향상과 제도 혁신 계기가 될지 주시하고 있다.