“펨토셀 미사용 자동관리 없다”…KT, 방치 논란에 보안 우려 확산

미사용 펨토셀(초소형 기지국) 관리 부실이 KT 통신망 신뢰성에 대한 우려를 키우고 있다. KT가 업계 최다인 20만대 이상의 펨토셀을 보급하고도 미사용 장비 자동 차단, 위치 급변 시 고윳값 등록 삭제 등 기본적 관리 시스템을 두지 않은 채 단순 고객 연락 방식에만 의존하고 있었던 것으로 드러났다. 정보통신망의 안전성과 기업의 기본적 보안의무가 시험대에 올랐다는 평가다.

국회 과학기술정보방송통신위원회 소속 이해민 조국혁신당 의원실에 따르면, 대부분의 주요 통신사가 미사용 펨토셀의 장기 방치나 무단 이동을 감지하면 자동 이상탐지·차단 조치를 수행하는 반면, KT만 별도의 관리지침을 마련하지 않은 채 고객 연락 실패 시 장비를 사실상 방치해왔다. 이로 인해 회수 불능 장비가 다수 존재했고, 이 중 일부가 해킹 등 불법 목적에 악용된 정황이 포착됐다.

펨토셀(Femtocell)은 제한된 실내 공간이나 신호 수신이 어려운 지역에 설치돼 소규모 음영지역 커버리지 확대에 사용되는 기술로, 관리 소홀 시 통신망 전체를 위협하는 '보안 배수구'가 될 수 있다는 점에서 최근 산업계의 경계감이 커진다. 실제 KT 펨토셀을 이용한 해킹으로 2만여 명의 고객 개인정보가 유출되고, 362명이 2억4000만원에 달하는 소액결제 피해를 입었는데도 KT 내부에서는 해당 이상 징후를 탐지하지 못했다.

이에 대해 이 의원은 "KT가 기간통신사업자로서의 기본적 자질에 의문이 든다"며 "국가 중요 통신 인프라를 대상으로 하는 만큼 단순 관리 실패를 넘어 국가보안 위협으로 비화할 우려가 있다"고 지적했다. 위기관리센터 및 대통령실 등 국가 주요 인프라 관리사업에도 참여하는 KT의 보안 부실 논란이 거세지고 있다.

국내외 통신업계는 펨토셀 등 네트워크 요소의 자동화된 실시간 관리, 정기적 고유값 갱신·삭제 체계를 필수 보안조건으로 인식하고 있다. 글로벌 통신사들은 미사용 기지국 장비에 대해 위치 기반 이상 탐지, 원격 차단, 장기 정보를 주기적으로 삭제하는 방식으로 관리 고도화에 나서고 있다.

일각에서는 현행 국내 통신망 보안 규정이 실제 현장 적용에서 허점을 드러내고 있다고 지적한다. 과기정통부와 방통위 등 관련 당국의 관리·감독 강화와 동시에 사업자 자율 책임 강화의 필요성이 제기된다.

통신보안 전문가들은 "펨토셀과 같은 인프라 장비는 방치 자체가 치명적 취약점이 될 수 있다"며 "실시간 이상 감지 시스템 도입과 데이터 주기적 갱신·삭제를 의무화해 사고 재발 방지책을 마련해야 한다"고 진단한다.

산업계는 KT 사태가 국내 정보통신 인프라 전반의 신뢰성 위기로 번질지 주시하고 있다. 기술적 대처와 함께 조직 관리의 근본적 변화를 병행하지 않으면 시장 신뢰 회복이 쉽지 않을 것으로 보인다.