KT 펨토셀, 구형 아닌 개조한 중국산 장비?…”사실이면 큰 일”
중국산 불법 장비 개입 가능성, 경찰 “아직 확인 안 돼”
10년간 재검증 없던 펨토셀, KT 관리 부실 도마 위에
KT 소액결제 피해 사건의 수사가 본격화되면서 사건의 핵심 쟁점이 범행에 사용된 불법 ‘초소형 기지국(펨토셀)’의 출처로 옮겨가고 있다. 일각에서는 ‘중국에서 개조된 불법 장비가 KT 망에 붙었을 가능성‘을 제기됐지만, 경찰은 “아직 장비의 출처는 확인되지 않았다”며 신중한 입장을 유지하고 있다. 전문가들은 “그럴 가능성은 있으나 확정할 수 없다”며 “사실이라면 사태는 훨씬 더 심각해진다”고 경고한다.
중국산 불법 개조 장비? 경찰 “아직 확인된 바 없어”
KT 소액결제 피해의 범행 도구로 지목된 펨토셀은 원래 통신 음영 지역 해소나 트래픽 분산을 위해 쓰이는 초소형 기지국이다. 손바닥만 한 크기지만, 기지국과 코어망(Core Network)을 연결하는 역할을 하기에 보안이 매우 중요하다.
문제는 이번 사건에서 사용된 장비가 KT가 보급한 정식 펨토셀이 아닐 가능성이 제기됐다는 점이다. 실제로 중국의 온라인 쇼핑몰과 중고 거래 플랫폼에서는 펨토셀과 유사한 통신 장비가 손쉽게 판매되고 있으며, 이를 불법 용도로 개조할 경우 특정 주파수 대역을 노려 기지국 신호를 가로채는 것도 기술적으로 가능하다는 지적이 나왔다.
김장겸 의원은 지난 24일 열린 국회 과학기술정보방송통신위원회 KT·롯데카드 해킹 사태 관련 청문회에서 “가짜 기지국, 차량 탑재용 고출력 장비, 휴대용 무선 기지국, 배낭에 넣고 다닐 수 있는 초소형 모델까지 중국 플랫폼인 알리바바나 알리익스프레스 등에서 판매·홍보되고 있다”며 “일부 구매자는 한국에 들여왔다가 다시 반출하는 등 왔다 갔다 하는 것 같다”고 말한 바 있다.
KT도 이 같은 가능성을 완전히 부정하지는 않았다. 지난 11일 열린 기자간담회에서 황태선 KT 정보보안실장은 “기지국 ID 분석 결과 기존 KT 망에 연결된 적 있는 장비로 추정된다”며 “초기에는 KT 펨토셀이 불법 개조돼 사용됐을 가능성이 높다고 판단했다”고 말했다. 김영섭 KT 대표도 국회 청문회에서 “처음에는 KT 펨토셀이 개조됐다고 생각했는데, 그렇지 않다면 사태는 더 복잡해진다”고 언급한 바 있다.
다만 경찰은 “현재까지 해당 펨토셀이 어디서 왔는지, 범행에 어떤 방식으로 사용됐는지는 확인되지 않았다”며 “추가 검증이 필요하다”고만 밝혔다. 아직은 추정일 뿐이며 실제 범행에 사용된 장비의 출처가 어디인지는 명확히 밝혀지지 않았다.
곽진 아주대학교 정보보호학과 교수는 “그래서는 안되지만, 만약 중국에서 제작·개조된 장비가 KT 망에 붙었다면 훨씬 심각한 문제”라며 “아직 근거가 충분하지 않은 상태에서 추정하는 것은 적절하지 않다”고 말했다. 그는 “기본적으로 펨토셀은 정식 기지국과 상호 인증을 통해서만 망에 연결되도록 설계돼 있다”며 “만약 불법 개조 장비가 KT 같이 중요한 국가 통신망에 연결됐다면 인증 체계가 무너졌다는 의미”라고 지적했다.
이어 그는 “중국에서 펨토셀 유사 장비가 거래되고 있는 건 사실이지만, 그것이 곧 국내 통신망에 접속할 수 있다는 뜻은 아니다”라며 “만약 그렇게 불법 개조 장비가 실제로 KT의 내부망에 연결됐다면 KT의 인증 체계와 보안 시스템 전반을 재설계해야 할 정도로 심각한 사안”이라고 우려했다.
다만, 곽 교수는 “기술적으로 가능성 자체는 있다”며 “통신사는 각각 다른 주파수 대역을 사용하고 있기 때문에, 공격자가 이를 파악해 KT 펨토셀과 동일한 주파수 대역에서 작동하도록 장비를 개조하면 기지국처럼 신호를 내보내거나 문자나 통화 등을 가로채는 것이 기술적으로는 가능하다”고 설명했다. 이 경우 주변 단말기를 가짜 기지국으로 유도해 인증 관련 트래픽 일부를 수집하거나, 정상 기지국과의 통신 흐름을 교란하는 시나리오도 이론적으로는 가능하다.
인증 절차 무너졌나, 드러난 KT의 펨토셀 관리 부실
펨토셀이 이동통신사의 핵심망에 접속하기 위해서는 장비 고유 식별정보 등록, 인증서 교환, TLS/IPSec(네트워크 보안 분야에서 쓰이는 암호화 통신 프로토콜) 기반 세션 수립 등 여러 인증 단계를 거쳐야 한다. 등록되지 않은 장비는 원칙적으로 망에 접근할 수 없다.
한 네트워크 보안업체 관계자는 “거의 모든 장비는 인증 절차를 거쳐야 코어망에 붙을 수 있다”며 “그냥 만든 장비만으로는 접속이 불가능하고, 내부에서 사용하는 인증키나 인증서가 있어야 정상 장비처럼 인식된다”고 설명했다. 그는 “만약 불법 장비가 붙었다면 단순히 관리가 느슨했던 수준이 아니라, 인증 관련 내부 정보가 유출됐거나 위조됐을 가능성까지 점검해야 한다”고 지적했다.
지난 8월 보안 전문 매체 ‘프랙(Phrack)’이 공개한 해커의 문건을 재분석한 고려대학교 정보보호대학원의 ‘APT-Down Revisited’ 보고서에서는 KT 내부에서 사용된 것으로 추정되는 SSH(Secure Shell) 인증키가 외부 공격자 인프라에서 발견된 정황이 포착된 바 있다. SSH 키는 서버에 원격 접속할 때 비밀번호처럼 쓰이는 디지털키로 유출될 경우 외부 공격자가 내부 관리자처럼 서버에 접근할 수 있다. 이 SSH 키 자체가 펨토셀 인증에 직접 사용되는 것은 아니지만, 코어망 관리 서버나 인증 시스템 접근에 악용될 경우 펨토셀 등록·관리 절차에도 영향을 줄 수 있다는 것이 전문가들의 분석이다.
곽진 교수는 이에 대해 “내부 인증 정보 유출 정황이 이번 펨토셀 공격과 직접적으로 연관됐다고 단정할 수는 없지만, 관련이 있을 가능성은 열어둬야 한다”면서 “만약 이 정보가 실제로 악용돼 외부에서 개조한 장비가 정상 장비처럼 위장했다면, 이는 단순한 장비 개조 수준을 넘어 통신망 구조 전반의 취약성을 드러내는 문제”라고 분석했다.
김용대 카이스트 전기및전자공학부 및 정보보보대학원 교수도 “펨토셀이 뚫리면 이동통신망의 핵심 인증·라우팅 절차 자체가 조작돼 소액결제가 이뤄질 수 있다”고 지적하며, “이는 사용자가 직접 막을 수 없는 공격으로, 통신사 차원의 구조적 대응이 필수적”이라고 강조한 바 있다.
국회 청문회에서는 KT가 펨토셀 인증을 최대 10년간 재검증하지 않았다는 사실이 드러나 ‘관리 사각지대’라는 비판도 나왔다. 통신 3사의 관리 실태를 비교하면 격차는 더 뚜렷하다. SK텔레콤은 별도의 인증 기간을 두지 않고 7일 이상 사용되지 않은 펨토셀을 자동으로 차단한다. LG유플러스는 인증 기간을 2년으로 설정하고, 30일 이상 트래픽이 없을 경우 장비를 강제로 차단한다. 반면 KT는 사건 전까지 인증 기간을 10년으로 설정해 사실상 방치 수준이었다. 이번 사태 이후에야 인증 주기를 1개월로 줄였다.
곽 교수는 “확인하기로는 SK텔레콤 같은 경우, 펨토셀을 대면 설치·수거하고 상호 인증 절차를 엄격히 수행하고 있는 것으로 확인했다”고 설명했다. SK텔레콤 관계자는 “KT 사건 이후 (SKT) 내부에서도 펨토셀 관리 기준을 더욱 엄격히 하려고 노력 중”이라고 말했다.
김영섭 대표는 청문회에서 “펨토셀 관리가 부실했다”고 인정하며 “일정 기간 사용되지 않은 펨토셀이 망에 붙지 못하도록 인증 주기 단축 등 조치를 취하겠다”는 입장을 밝혔다. 그러나 관리 미비가 불법 개조나 인증 체계 취약으로 이어졌을 가능성까지 언급된 만큼, 단순한 사후 조치만으로는 근본적인 문제를 해결하기 어렵다는 지적도 나온다.
전문가들은 “가능성을 추정하는 것보다 인증 구조와 장비 관리 체계를 명확히 검증하는 것이 우선”이라고 입을 모은다. 이번 사건만으로도 펨토셀 관리 부실, 인증 절차 미비, 재인증 시스템 부재 등 KT의 구조적 취약점이 명백히 드러나, 설령 불법 장비가 사용되지 않았다 하더라도 지금과 같은 구조라면 유사한 피해는 언제든 재현될 수 있다는 게 전문가들의 경고다.
글. 바이라인네트워크
<곽중희 기자> god8889@byline.network
