보안패치 끝냈다더니…KT 펨토셀, 39C3서 ‘30분 해킹’ 재현[only이데일리]

보안 조치 이후에도 ‘인증서 우회’로 코어망 접속
29일 유럽 최대 보안 컨퍼런스 ‘39C3’에서 시연
IPsec 다운그레이드·아이폰 평문 논란 재소환…정부도 “추가 유출 단정 못 해”

[이데일리 권하영 기자] 대규모 고객정보 유출과 무단 소액결제에 악용됐던 KT(030200) 초소형 기지국 장비(펨토셀)가 보안 조치 이후에도 해외 연구진 실험에서 단 30분 만에 뚫린 것으로 확인됐다.

류제명 과학기술정보통신부 제2차관이 29일 서울 종로구 정부서울청사에서 열린 KTㆍLGU+ 침해사고 조사 결과 브리핑에서 취재진 질문에 답하고 있다. 사진=연합뉴스

30일 보안업계에 따르면 지난 29일(현지시간) 독일 함부르크에서 열린 유럽 최대 보안 컨퍼런스 ‘39C3’에서 KT 펨토셀의 보안 취약점을 분석 시연한 결과, 펨토셀 관리 체계가 여전히 허술하다는 지적이 제기됐다. 글로벌 해커 연합체 ‘카오스 컴퓨터 클럽(CCC)’이 주최하는 39C3은 세계 3대 보안 컨퍼런스 중 하나다.

이날 박신조 독일 베를린공대 박사 등 연구진은 보안 패치가 완료된 KT 펨토셀을 직접 테스트한 결과, 새로운 인증서를 발급받는 우회 공격으로 코어망에 접속해 30분 내 해킹이 가능했다고 발표했다.

이는 KT가 인증서 유효 기간을 기존 10년에서 1개월로 단축하고 미인증 기기 접속 차단 등 기술적 조치를 이미 지난 9월 완료했음에도 인증 체계 자체가 여전히 취약하다는 점을 보여준다.

연구진은 또한 해킹된 펨토셀이 통신 데이터가 오가는 종단암호화(IPsec) 해제를 유도(IPSec Downgrading)하자 샤오미 등 특정 제조사 단말이 이를 그대로 수락하는 구조도 확인했다. 반용휴 연구원은 “SK텔레콤(017670)과 LG유플러스(032640)는 대부분 제조사에 암호화 적용을 요청했으나, KT는 일부만 조치했고 아이폰은 10년 동안 암호화 해제 상태였다가 뒤늦게 업데이트됐다”고 지적했다.

이는 실제 정부 민관합동조사단 조사 결과에서도 확인된 내용이다. 조사단은 지난 29일 브리핑에서 “KT 불법 펨토셀이 IPsec을 해제해 평문 상태의 통화 탈취가 가능했고, 특히 아이폰 16 이하 단말은 암호화가 지원되지 않아 문자가 평문으로 전송되는 문제가 있었다”고 밝혔다. KT는 현재 해당 단말에 대해 암호화 조치를 완료했다고 설명했다.

정부도 “추가 유출 여부 단정 못 해”…조사 한계 뚜렷

이번 시연 결과는 결국 정부가 발표한 최종 조사 결과의 맹점과도 맞닿아 있다. 민관합동조사단은 29일 KT 침해사고 조사 종결 브리핑에서 사고 원인과 경위를 발표했지만, 무단 결제에 사용된 정보 유출 경로를 끝내 확인하지 못했으며 펨토셀 해킹과 KT 서버 악성코드 감염 간 연관성 역시 규명하지 못했다. 또한 기록이 남아 있지 않은 기간의 피해 가능성에 대해서도 확인 불가 입장을 밝혔다.

류제명 과학기술정보통신부 2차관은 “조사단이 확인할 수 있는 범위는 회사 로그 기록이 남아 있는 기간으로 한정된다”며 “유출 여부를 단정할 수 없다”고 말했다. 다만 “펨토셀의 경우 보안 조치 이후 모니터링 결과 의심 정황이 없었고, 현재로서는 불법 펨토셀로 인한 망 침투 가능성은 없다고 판단한다”고 언급했다.

그러나 이번 해외 연구진 시연 결과를 고려하면, 펨토셀을 노린 추가 해킹 가능성을 완전히 배제하기는 어렵다는 지적이 나온다. 해킹 방식이 진화하는 현실과 조사 공백 기간의 불확실성, 인증·암호화 체계의 허점이 드러난 만큼 이용자 불안은 쉽게 가라앉지 않는 분위기다.

권하영 (kwonhy@edaily.co.kr)