[단독] 국회·정부청사에도 '초소형 기지국'…국정원 보안 검증선 빠져

[앵커]

이 사태의 핵심 범행도구로 악용된 초소형 기지국 여기에 주목해야 할 이유는 또 있습니다. 국회와 정부 부처처럼 중요한 정보가 모이는 공적 기관에서도 이 장치가 사용되고 있는데 별다른 보안 검증을 받지 않고 있어서입니다.

그 이유가 뭔지 임지수 기자가 취재했습니다.

[기자]

국회의사당 내 국회박물관입니다.

구내식당 한 켠에 KT 초소형 기지국, 펨토셀이 설치돼 있습니다.

신호가 잘 안 잡히는 곳에 설치되는 펨토셀은 해양수산부 청사 등에서도 사용 중인 걸로 파악됩니다.

이같은 공적 기관이 보안 기능을 갖춘 네트워크 장비를 사용하려면 국정원의 보안적합성 검증을 받아야 합니다.

검증을 통과하려면 국가보안기술연구소 보안기능 확인서나 CC인증이 필요합니다.

그런데 보안USB, VPN, 라우터 등은 검증 대상에 포함되지만 '통신장비'로 분류되는 초소형 기지국은 검증 대상에서 빠져 있는 걸로 확인됐습니다.

[정은수/청주대 디지털보안학과 교수 : 기존에는 주로 서버에 잠입해 정보를 유출한다든지 이런 공격이 대부분이었는데 초소형 기지국을 통해 해킹하는 사례는 처음 있다 보니 준비가 안 되어 있지 않나.]

뿐만 아니라 초소형 기지국은 과기부의 정보통신망 연결 기기 인증 제도에서 인증을 받은 적도 없었습니다.

로봇청소기나 홈캠 등 IoT 기기가 해킹 위협으로부터 안전한지 평가하는 제도인데 초소형 기지국이 그 대상이 된 적은 없단 겁니다.

[김승주/고려대 정보보호대학원 교수 : 외국에선 정부 기관에 납품되는 보안 기능이 있는 제품에 대해선 정부가 나서서 보안성 검토를 하라고 강제합니다. (과기부와 국정원) 두 기관이 좀 핑퐁을 치는 모양새라서 이런 공백이 (생긴 것 같습니다.)]

한편 KT는 석달간 사용 이력 없는 펨토셀 4만3천대를 연동 해지하고 관리시스템을 고도화한다고 밝혔습니다.

민관합동조사단은 불법 초소형 기지국이 KT가 관리하지 않는 ID를 통해 어떻게 KT 코어망에 접속할 수 있었는지 확인하고 있습니다.

[영상취재 정재우 영상편집 오원석 영상디자인 오은솔 봉아연]