[단독] KT 해킹 악용된 ‘초소형 기지국’ 모두 벤더키 동일…허술해 뚫려

선담은 기자 2025. 10. 21. 13:56
음성재생 설정 이동 통신망에서 음성 재생 시 데이터 요금이 발생할 수 있습니다. 글자 수 10,000자 초과 시 일부만 음성으로 제공합니다.
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

KT와 달리 SK텔레콤·LG유플러스
펨토셀마다 인증서 등 다르게 부여
서울 케이티(KT)광화문빌딩 이스트 사옥. 연합뉴스

케이티(KT)의 초소형 기지국(펨토셀) 인증 절차가 경쟁사보다 현저히 허술하게 설계돼 국외 불법 장비까지 케이티 통신망에 접속할 수 있었던 것으로 확인됐다. 펨토셀 장비는 물론, 케이티 통신망 관리 체계 전반이 부실하게 운영됐다는 지적이 나온다.

21일 국회 과학기술정보방송통신위원회 소속 이해민 조국혁신당 의원이 이동통신 3사에서 제출받은 자료에 따르면, 케이티는 펨토셀 설치·개통 때 경쟁사와 달리 제조사가 부여한 ‘벤더키’ 값만 일치하면 아이피섹 통신(IPsec·데이터의 도청과 변조를 막는 암호화 통신)을 위한 인증서를 발급한다. 벤더키란 펨토셀 제조사가 장비를 사용하는 통신사를 구분하기 위해 부여하는 값이다.

문제는 케이티가 자사의 모든 펨토셀 장비에 동일한 벤더키를 적용했다는 점이다. 경쟁사인 에스케이(SK)텔레콤과 엘지(LG)유플러스가 펨토셀마다 제조사 인증서, 유심(USIM·가입자식별단말장치) 정보 등을 다르게 부여해 개별 장비 단위로 인증 절차를 진행하는 것에 견줘 시스템이 허술한 셈이다. 이는 케이티 전용 벤더키 값만 입수하면 누구든지 불법 국외 장비를 사용해 인증을 받고, 케이티 통신망에 접속할 수 있다는 뜻이기도 하다. 실제 경찰이 범행 일당으로부터 압수한 불법 펨토셀 장비는 케이티와 무관한 국외에서 만들어진 제품으로 확인됐다.

이 의원은 “케이티는 엘지유플러스와 같은 제조사가 만든 펨토셀 장비를 사용했지만, 가장 기본적인 인증 절차를 강화하지 않았기 때문에 케이티망에서만 불법 접속이 가능했던 것”이라며 “케이티는 과거 고객이 펨토셀을 직접 설치할 수 있도록 하면서 장비 외부에 일련번호를 그대로 노출하는 등 보안 허점이 반복적으로 드러난 만큼, 추가 인증 단계에서의 우회 가능성에 대해서도 철저한 조사가 필요하다”고 했다.

케이티는 지난달 무단 소액결제 피해가 알려진 뒤 펨토셀 인증서의 유효 인증 갱신 주기를 단축하고, 미사용 장비의 접속을 차단하는 등 후속 조처에 나섰지만, 현재까지 자사 펨토셀 장비에 동일한 벤더키를 적용하는 등 허술한 인증체계는 개선하지 않고 있다. 이 의원은 “펨토셀 인증 체계를 근본적으로 손보지 않는 한 같은 문제가 반복될 수 있다”며 “국가 통신 인프라 관리 전반에 대한 재점검이 필요하다”고 말했다.

선담은 기자 sun@hani.co.kr

Copyright © 한겨레신문사 All Rights Reserved. 무단 전재, 재배포, AI 학습 및 활용 금지