“펨토셀 해킹이 소액결제 악용”…KT, 인증 취약점 대책 강화

펨토셀 해킹으로 촉발된 소액결제 무단 진행 사고가 IT·통신 산업의 보안 패러다임 변화를 촉구하고 있다. KT 등 이동통신사가 설치·운영하는 가정용 초소형 기지국(펨토셀)을 해커가 악용해, 본인인증 자동응답시스템(ARS) 절차를 우회하고 금전적 피해로 이어진 사실이 24일 국회 청문회에서 공식 확인됐다. 업계는 “이번 사고가 통신망 보안 경쟁의 분기점이 될 수 있다”고 평가한다.

KT 김영섭 대표는 국회 과학기술정보방송통신위원회 청문회에 참석해 “예기치 못한 사고로 고객, 나아가 전 국민께 불안과 걱정을 끼쳐드려 죄송하다”고 밝혔다. 해킹의 직접적 통로가 된 펨토셀은 기존 대형 기지국 대비 가정·소규모 사업장 등 제한 공간에 활용되며, 네트워크 신호를 증폭하는 장치다. 하지만 일정기간 미사용 시에도 망 연결이 유지되고, 본인인증 우회 취약점까지 노출되며 치명적 보안 위험이 드러났다. KT는 “이용 중지, 장기간 미사용 펨토셀은 망 접속이 불가하도록 즉시 조치했다”고 설명했다.

이종현 SK텔레콤 통합보안센터장은 “자사 펨토셀 관리 정책은 신호 미감지 3개월 경과 시 망에서 자동 삭제한다”며 경쟁사와 정책 차이를 부연했다. 펨토셀 인증은 KT 기준 10년 단위로 설정, 이 또한 관리 공백의 원인으로 지적됐다. ARS 본인인증이 집중적으로 공격을 받으며 대규모 피해로 이어졌던 점과 관련, 김 대표는 “문자, 패스앱 인증 등 전 채널 조사에 착수했다”고도 답했다.

펨토셀 해킹을 통한 본인인증 우회 및 부정 결제 사고는 국내 통신 인프라에 기생하는 신종 사이버 위협으로 평가된다. 일반 소액결제 시장과 직접 연계돼 국민 실생활 피해로 번진 만큼, 향후 통신·금융 연계 인증체계 강화, 장비 회수 및 관리 고도화가 시급하다는 지적도 잇따른다.

한편, 조좌진 롯데카드 대표도 이번 사건에 대해 “고객정보 유출은 금융사로서 중대한 책임”이라며 피해자 보호 및 정보보안 강화에 집중하겠다고 밝혔다. 전문가들은 “AI와 네트워크 자동화 등 차세대 보안기술 조기 적용이 내부망부터 시작돼야 한다”고 진단한다.

산업계는 이번 펨토셀 해킹 사태에 대한 근본적 대응과 제도 개선이 실제 현장에 적용될 수 있을지 주시하고 있다.