“한국이 계속 해킹당하는 이유”…김용대 교수, KT 보안사고로 드러난 구조적 취약성 지적

By곽중희

지금의 보안 체계와 법·제도를 바꾸지 않으면, 내년에도 똑같이 당합니다.”

13일 국회에서 열린 국가미래전략기술포럼 ‘위기의 K-보안, 글로벌 해커 타깃 한국’에서 김용대 카이스트 전기및전자공학부·정보보호대학원 교수는 올해 발생한 KT의 무단 소액결제 피해 사태를 중심으로 국내 통신·보안 체계의 근본 약점을 지적했다.

김용대 교수는 KT의 사고를 “국가 기간통신망 운영 전반의 구조적 결함이 드러난 사례”라고 칭하며, 단일 사건이 아니라 오랫동안 누적돼온 취약점이 한꺼번에 표면화된 것이라고 분석했다.

KT 소액결제 피해, 예견된 사고10년 전 이미 경고

김 교수는 KT 해킹 사건의 핵심이 초소형 기지국(펨토셀) 운영 방식의 구조적 문제라고 설명했다. 펨토셀은 휴대폰·펨토셀·게이트웨이가 통신하는 사이에서 데이터가 암호화와 복호화를 반복하는데, 이 과정 중 일부 구간이 평문으로 노출된다. 관리 권한이 탈취되면 통화와 문자 내용을 들여다볼 수 있는 구조다.

김 교수는 이번 사고가 전혀 새로운 형태의 공격이 아니라는 점을 강조했다. 약 10년 전, 김 교수의 연구팀은 동일한 펨토셀 취약점을 발견해 실제 도청 시연 영상을 제작했고, 이를 KT를 포함한 통신 3사에 전달한 적이 있다. 김 교수는 “당시 연구팀이 펨토셀 내부 평문 노출로 인한 도청 가능성을 경고했지만, 이후 운영 방식에는 큰 변화가 없었다”고 말했다.

김 교수는 이번 사태에서 결정적으로 드러난 부분은 KT가 약 19만대의 펨토셀을 ‘하나의 암호키’로 관리했다는 점이라고 설명했다. 그는 “단일 키만 확보하면 중국에서 가져온 장비에 넣어 KT 내무망 어디로든 붙을 수 있는 구조였다”고 지적했다. 또한, 소액결제 시도는 이 과정이 외부에 드러난 계기가 됐을 뿐이며, 그 시도가 없었다면 도청 행위가 계속 이어졌을 가능성도 있다고 설명했다.

왜 한국은 반복적으로 당하나? 제도와 관행이 만든 방어 불능 구조

김 교수는 올해 발생한 다양한 대규모 해킹 사건의 원인에는 국내의 근본적인 보안 취약 구조가 있다고 짚었다.

김 교수는 먼저 “우리는 우리 인프라가 어디가 약한지 직접 확인할 방법이 거의 없다”며 “‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 48조 1항의 한계점 때문”이라고 지적했다. 이 조항은 정당한 접근 권한 없이 취약점을 스캔하거나 점검하면 처벌하도록 규정한다. 그 결과 한국인터넷진흥원(KISA)도 민간 연구자도, 기업 동의 없이는 취약점을 분석해 알릴 수 없다.

반면 해외 공격자는 한국 시스템을 제한 없이 스캔한다. 김 교수는 이를 “공격자는 자유롭고 방어자는 묶여 있는 비대칭 환경”이라고 설명했다.

또한, 취약점 제보 구조도 이 비대칭성을 강화한다. KISA의 버그바운티는 제품 취약점만 받을 수 있고, 웹서비스 취약점은 법적 제약 때문에 다룰 수 없다. 게다가 제조사가 동의해야만 ‘공통 취약성 및 노출(CVE)’에 공개되는 구조가 유지되면서 패치가 지연돼도 외부에 알려지지 않는다.

김 교수는 “작년에도 수백 건의 취약점이 제보됐지만 CVE 발급은 단 두 건뿐이었다”고 말했다.

아울러 그는 국내 금융·공공기관의 보안 프로그램의 문제점도 언급했다.

김 교수는 “보안을 위한 소프트웨어가 오히려 공격 경로가 되고 있는 상황”이라고 짚었다. 이어 “많은 PC에는 평균 10개 이상의 보안 프로그램이 설치돼 있고, 상당수는 장기간 업데이트되지 않는다며”며 “일부 프로그램에서 20개 이상의 취약점이 한 번에 발견됐다. 이는 공격자가 한국을 노릴 때 활용 가능한 지점을 더 넓히는 요인이 된다”고 설명했다.

‘정보보호 및 개인정보보호 관리체계 인증(ISMS-P)’ 제도가 현실과 괴리가 있다는 점도 지적됐다. 수만 대의 서버를 가진 기업에서 전수 점검은 사실상 불가능하며, 실제 운영 환경과 무관하게 인증도 형식적인 체크리스트 충족 여부가 평가의 기준이 된다는 것이다.

김 교수는 최근 개인정보 유출이 발생한 한 통신사를 자문한 경험을 들며 “전체 자산의 인증 현황을 파악하는데 엄청나게 많은 인력과 시간이 소요되는 것을 봤다”며 “이런 한계로 현재 인증 체계만으로는 실제 보안 수준을 확보하기 어렵다”고 지적했다.

아울러 침해사고 신고 제도가 만들어내는 역효과도 짚었다. 김 교수는 “최근 SKT는 정보 유출이 있을 가능성이 있어, 선제적으로 신고했지만 약 1348억원 과징금을 부과받았다”며 “처벌만 주는 구조에서는 모든 기업이 신고를 꺼리게 될 수 밖에 없다”고 말했다.

끝으로 그는 벤치마킹의 필요성을 들며 해외의 사례를 소개했다. 미국 사이버보안·인프라안보청(CISA)이 운영하는 국가 스캐닝 프로그램, 제조사 패치 의무화, 연구자 보호 제도 등을 소개하며 “자체적으로 취약점을 찾고 제보해 개선하고 그 성과를 인센티브로 부여 받는 등 보안이 시장 경쟁력을 좌우하는 구조를 만들어야 한다”고 제언했다.

아울러 “현재 국내 제도는 공격 억제력이 약하게 설계돼 있다”며 “제도 개선 없이는 동일한 유형의 사고가 계속 반복되니, 빠르게 대책을 실행하는 결단이 필요하다”고 강조했다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network

사람을 위한 보안을 취재합니다. 끝까지 배우며 글로 나아가겠습니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.