KT, 펨토셀 10년간 방치 “자동 방어 체계도 없었다“

By곽중희

국회 과방위, KT 펨토셀 ‘관리 부실 실태‘ 집중 질타

KT가 초소형 기지국(펨토셀)을 10년 동안 재인증 없이 망에 접속할 수 있도록 방치했고, 자동 방어 체계조차 갖추지 않았던 사실이 국회 과학기술정보방송통신위원회(위원장 최민희, 이하 과방위) 청문회에서 드러났다.

국회 과방위 의원들은 24일 열린 해킹·개인정보 유출 사태 청문회에서 “KT의 관리 부실이 대규모 피해를 불렀다”며 강하게 질타했다. 의원들은 “KT는 자동 차단 체계조차 없었고, 등록된 장비는 10년 동안 재인증 없이 망 접속이 가능했다”며 “수천 대 장비가 망실된 채 행방조차 파악하지 못했다”고 일제히 비판했다.

자동 차단 부재·10년 인증·장비 방치가 불러온 취약점

박정훈 국민의힘 의원은 “SK텔레콤은 일정 기간 사용하지 않은 펨토셀을 자동으로 망에서 삭제해 불법 접속을 막고 있다”며 “KT는 유효 인증 기간을 10년으로 설정해 사실상 관리 포기를 선언한 것이나 다름없다”고 지적했다. 실제로 KT는 폐기·미사용 장비까지도 네트워크 접속이 가능했던 것으로 드러났다.

김영섭 KT 대표는 “인증 기간을 10년으로 설정해 관리가 부실했던 점을 인정한다”며 책임을 수긍했지만, 구체적 개선 방안은 제시하지 못했다. 이주희 더불어민주당 의원은 “펨토셀 관리 서버와 연동이 제대로 작동하지 않아 폐기된 장비 여부조차 식별하지 못했다”며 “KT 코어망은 자동문처럼 누구에게나 열려 있던 셈”이라고 꼬집었다.

문제는 오래전부터 경고가 있었음에도 개선이 없었다는 점이다. 참고인으로 참석한 김승주 고려대학교 정보보호대학원 교수는 “2012년 펨토셀 관련 연구 용역과 2015년 연구팀 미팅에서 펨토셀 취약점을 KT에 직접 알린 바 있다”고 밝혔다. 이에 여야 의원들은 “13년간 지적을 무시한 건 조직적 태만”이라며 질타했다.

특히 이번 청문회에서는 통신 3사의 펨토셀 인증 기간 비교 자료가 공개돼 관리 실태 격차도 드러났다. SK텔레콤은 별도의 인증 기간을 두지 않고, 7일 이상 사용하지 않으면 펨토셀을 자동으로 끄고 망 접속을 차단한다. LG유플러스는 인증 기간을 2년으로 설정하고, 30일 이상 트래픽이 없을 경우 장비를 강제로 차단한다. 반면 KT는 사고 발생 전까지 인증 기간을 10년으로 설정해 사실상 관리 사각지대가 발생했다. KT는 이번 사태 이후에야 뒤늦게 인증 주기를 1개월로 줄였다. 의원들은 “KT만 지나치게 허술한 관리 체계를 유지해온 것”이라며 문제를 제기했다.

이준석 개혁신당 의원은 불법 펨토셀로 인한 추가 피해를 우려하며 추가 조치의 필요성을 촉구했다. 이 의원은 “펨토셀 보안 입증 체계를 마련해 통신사가 개별 펨토의 안전성을 확인하지 못하면 폐기·교체하도록 해야 한다”며 “중간자 공격과 물리적 접근이 가능한 환경에서 기본적인 보안이 무너졌다”고 지적했다.

이에 류제명 과학기술정보통신부 제2차관은 “각 펨토셀의 보안 입증을 사업자에게 요구했고, 입증되지 않는 장비는 폐기·교체해야 한다”며 “스마트폰 보급 환경에서 일회용 인증번호(OTP) 같은 이중 인증 의무화 방안도 조치하도록 하겠다”고 답했다.

망실된 펨토셀, 중국산 불법 장비 문제도 심각

KT는 최근 5년간 약 3000대 펨토셀이 망실됐다고 밝혔다. 이혜민 더불어민주당 의원은 “회수되지 않은 수천 대 장비는 언제든 불법으로 악용될 수 있다”며 “이미 불법 펨토셀 4대가 발견된 상황에서 국민 안전을 방치한 것”이라며 강력히 비판했다. 황정아 더불어민주당 의원도 “국민이 키운 기업이 이렇게 허술한 보안 수준을 방치한 건 국민에 대한 배신”이라고 비판했다.

24일 열린 국회 과방위 해킹 사태 청문회에서 KT 김영섭 대표에게 질의하고 있는 황정아 더불어민주당 의원. (사진=국회방송 캡처)

황태선 KT 정보보호실장은 “KT는 유·무선 장비를 모두 관리하고 있다”며 “그동안 서버에서의 침해 정황이나 이력은 있었지만 불법 펨토셀이 망에 접근한 사례는 없었다”고 설명했다. 이에 여야 의원들은 “망실 장비와 불법 펨토셀이 실제 확인된 이상 책임 회피일 뿐”이라며 일축했다.

이외에도 중국 등 해외에서의 불법 펨토셀 유통 문제도 도마에 올랐다. 김장겸 국민의힘 의원은 “중국의 알리바바 등 온라인에서 불법 펨토셀, 가짜 기지국(ISMI 캐처)이 버젓이 판매되고 있고, 한국 맞춤형 불법 장비도 유통된다는 보도가 있었다”며 “정부 차원에서 관세청 등과 협력해 통관·유통을 차단해야 한다”고 촉구했다. 이에 류제명 차관은 “필요한 조치를 강구하겠다”며 “불법 장비가 국내에 반입돼 악용되지 않도록 제도적 보완책을 관련 부처와 논의하겠다”고 답했다.

또한 김 의원은 “ARS와 문자만으로 결제가 가능해 공격에 취약하다”며 “생체인증, 결제 비밀번호, OTP 등 이중 인증 강화가 필요하다”고 주문했다. 류 차관은 “결제 안전성 강화를 위해 정부 차원의 제도 개선을 검토하겠다”고 답했다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network

사람을 위한 보안을 취재합니다. 끝까지 배우며 글로 나아가겠습니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.