“10년 전부터 예견됐다”…‘초소형 기지국’ 보안 경고, 이미 여러 차례 있었다

사고 원인 ‘펨토셀’ 추정…‘유령’ 초소형 기지국
“10년 전 위험 예고” 국내외 보안 경고 이어져
연구 논문 “개인정보 노출 등 보안 취약성 커”
전문가 “사용자가 못 막아…구조적 대책 필요”

서울 종로구 KT광화문빌딩 입구. [임세준 기자]

[헤럴드경제=차민주 기자] KT 무단결제 침해 사고의 핵심 원인으로 ‘펨토셀(초소형 기지국)’이 추정되는 가운데, 보안 업계 전문가들은 약 10년 전부터 펨토셀의 보안 취약성을 예고해 온 것으로 나타났다. 초소형 기지국에 대한 전면적인 보안 대책이 시급하다는 목소리가 커진다.

10일 관련 업계에 따르면 보안 업계 전문가들은 이미 약 10년 전부터 펨토셀의 보안 취약성을 여러 차례 경고했다.

펨토셀은 반경 10m 이내 통신을 제공하는 초소형 기지국이다. 지난 2010년 SK텔레콤이 국내에서 처음으로 펨토셀을 상용화했다. 이후 펨토셀은 음영 지역 해소 목적으로 주로 가정이나 소규모 사무실에서 사용됐다.

업계는 KT 사고의 핵심 원인으로 펨토셀을 추정하고 있다. 이날 과학기술정보통신부에 따르면 KT는 사고 원인의 하나로 ‘불법 초소형 기지국의 통신망 접속’을 언급했다. 즉 이용자들이 KT의 공식 기지국이 아닌 ‘가짜 유령 초소형 기지국’으로 접속한 것이 확인됐다. KT는 지난 2013년 세계 최초로 광대역 LTE 홈 펨토셀을 개발했다며 상용화에 나선 바 있다. 현재 과기정통부는 민관합동조사단을 꾸려 관련 내용을 조사하고 있다.

KT 광화문 이스트 사옥 전경. [KT 제공]

국내외 업계 전문가들은 펨토셀이 상용화되기 시작한 2010년대 초반부터 펨토셀에 대한 보안 취약성을 지적해 왔다. 지난 2013년 미국 보안 기업 iSEC 파트너스의 연구원들은 해외 매체를 통해 “펨토셀을 해킹해 사용자의 전화번호를 가로채고, 문자 메시지를 확인하고, 통화 내용을 도청할 수 있다”고 밝혔다.

당시 보안 기업 베라코드의 부사장이었던 보안 전문가 크리스 엥 또한 해외 매체와의 인터뷰에서 “모바일 사용자가 대형 기지국과 펨토셀을 구분할 방법이 없다”며 “커피숍이나 사무실 건물에 악성 펨토셀을 설치하면 통신망을 가로챌 가능성이 있다”고 언급했다.

한 시민이 서울의 한 KT 판매점 앞을 지나고 있다. [연합]

국내에서도 예고는 계속됐다. 지난 2016년 한국정보처리학회에 발표된 논문 ‘위협 모델링 기법을 이용한 펨토셀 취약점 분석에 대한 연구’는 “기존 기지국 포화 상태 막고자 펨토셀이 보급되고 있는데, 해킹 기술 발전하면서 개인정보 노출과 같은 심각한 문제가 발생 가능하다”고 설명했다.

황석진 동국대 정보보호대학원 교수는 범행 원인이 펨토셀이 아니라 해도 초소형 기지국 활용한 ‘유령 기지국’이 있다는 것 자체가 문제라 언급했다.

황 교수는 “펨토셀은 일정 반경 안에 있는 주파수를 전부 담아버리는 기술로, 그간 기술이 발전됐다 해도 본질적인 구조가 무선 공유기와 크게 다르지 않아 항상 보안 이슈가 있었다”며 “해외에서 펨토셀을 통한 침해 사례는 종종 발생했지만, 국내에서 이 같은 사례는 처음으로 KT 또한 미처 신경 쓰지 못한 것으로 보인다”고 했다.

그러면서 “다만 해킹 수법이 명백히 펨토셀로 밝혀지지 않았다 해도, ‘유령 기지국’을 잡아내지 못한 것 자체가 문제”라고 지적했다.

KT 사옥

KT가 문자메시지(SMS)를 구현하는 방식이 타 통신사와 달라 위험에 노출됐다는 분석도 나온다.

김용대 카이스트(KAIST) 전기및전자공학부 교수는 자신의 사회관계망서비스(SNS)에서 KT 사고 시나리오를 기술했다. 김 교수에 따르면 KT는 SKT와 달리 SMS 구현 방식에서 종단 암호화가 적용되지 않아, 펨토셀을 해킹해 소액결제 일회용 비밀번호 발생기(OTP)를 탈취할 수 있다. 그는 “(이 같은 해킹 수법을) 사용자가 직접 막을 수 있는 방법은 없다”며 “통신사 차원의 구조적 대책이 필요하다”고 했다.