KT 무단 소액결제 피해 사고의 원인으로 지목된 펨토셀(Femtocel)은 가정이나 소규모 사무실 등 반경 10~50m 내외의 작은 공간에서 사용하는 초소형 기지국이다. 실내, 지하 등 기존 통신사 기지국 전파가 닿기 어렵거나 약한 곳에 설치해 통화 품질과 데이터 속도를 개선한다.
통신사 입장에서는 비용 절감 효과도 있다. 대형 기지국이 아닌 소형 장치로 네트워크 커버리지를 보완할 수 있기 때문이다. 이처럼 비용을 덜 들이고도 통신 네트워크의 사각지대를 줄여 이용자 만족도를 높일 수 있다는 장점에 KT는 2012년 팸토셀을 국내 최초로 상용화했다. 현재 운영 규모 또한 약 15만7000대로 LG유플러스(약 2만8000대), SK텔레콤(약 7000대) 대비 압도적이다.
정보 유출·가짜 기지국 '취약'
문제는 이번 사고가 보여주듯 펨토셀이 보안에 매우 취약하다는 점이다.
먼저 펨토셀 장비는 통신망에 접속하기 위해 사전에 등록된 고유 장비 아이디(ID)와 인증 키를 사용한다. 이 키는 대부분 내부 펌웨어나 보안 칩에 저장되어 있지만 장비가 물리적으로 유출되거나 소프트웨어가 해킹되면 해커가 내부 저장소에 접근해 인증 정보를 복제하거나 재사용할 수 있다. 펨토셀 장비 하나를 해킹하면 동일한 인증 정보를 가진 '가짜 불법 기지국'도 만들 수 있는 셈이다.
여기에 KT 이용자 휴대전화가 정상 기지국 여부를 검증하지 않고 신호가 가장 센 기지국에 자동 연결되는 현 네트워크 구조는 기름을 부은 격이 됐다. 개별 휴대전화가 해킹된 펨토셀에 연결되면서 국제이동가입자식별번호(IMSI) 같은 이용자 식별 정보가 유출됐을 수 있기 때문이다. 현재 사고를 조사 중인 과학기술정보통신부의 민관합동조사단 역시 이런 시나리오를 가장 유력하게 보고 있다.
한편 경찰은 지난 16일 중국 국적의 남성 2명을 KT 무단 소액결제의 용의자로 보고 체포했다. 펨토셀을 차량에 싣고 다니면서 KT 이용자들의 휴대전화를 해킹해 모바일 상품권 구매, 교통카드 충전 등의 소액결제를 한 혐의다.
다만 현재로서는 KT의 정상 펨토셀이 해킹돼 개인정보가 유출된 것인지, 해커가 만든 가짜 불법 기지국이 악용된 것인지 구체적으로 드러난 바가 없다. KT는 자체 조사에서 미등록 기지국 ID의 망 접속을 발견했지만 그 실체는 정확히 파악하지 못한 상태다.
기존 KT 장비?…"폐기인증 의무 必"
KT의 펨토셀 장비가 도난당하거나 빼돌려져 소액결제 해킹으로 이어졌을 가능성도 배제할 수 없다. 실제 이사나 서비스 해지, 폐업 등으로 방치된 펨토셀은 최근까지도 일부 중고거래 플랫폼에서 버젓이 유통됐던 것으로 알려졌다. KT가 통신사 고유 자산인 펨토셀 관리를 허술하게 했다는 지적이 나오는 대목이다.
구재형 KT 네트워크기술본부장은 지난 11일 서울 광화문 사옥에서 열린 기자간담회에서 "KT가 사용하는 펨토셀 일부를 불법 취득해 개조했거나 특정 시스템을 만들어 초소형 기지국 일부를 떼서 옮긴 것으로 추정한다"고 말했다. 또 "불법 펨토셀이 KT 망에 접속했다는 건 기존에 연동됐던 장비였기 때문이라고 보고 있다"고도 했다.
특히 KT는 전체 펨토셀(약 15만7000대)의 36%에 달하는 약 5만7000대 신호가 자체 관리 시스템에 잡히지 않는 것으로 드러났다. 신호 수신이 되지 않는 건 도난이나 고장 등 때문으로 추정된다.
국회 과학기술정보방송통신위원회 소속 최수진 국민의힘 의원실에 따르면 이동통신 3사의 펨토셀 19만여대 중 약 6만4000대는 현재 신호 수신이 되지 않고 있다. LG유플러스는 4000대, SK텔레콤은 3000대로 KT가 가장 많다. 다만 KT는 이번 소액결제 피해 사고 이후 행방이 묘연한 이들 펨토셀에 대한 망 접속을 차단했다.
그러나 안심하기는 이르다는 게 업계 전문가들의 공통적인 견해다. 보안업체 관계자는 "펨토셀은 기본적으로 중앙 집중식 통제가 어려운 장비이기 때문에 도난이나 복제, 해킹에 취약하다"며 "사후약방문격으로 통신사들이 펨토셀 접속을 차단한들 기존 펨토셀이 해킹됐다면 해커는 그 정보를 재활용해 추가 피해를 부를 수 있다"고 했다.
익명을 원한 정보보안 분야 교수는 "장비 1대가 허술하게 관리되면 수천명의 이용자 정보가 새어나갈 수 있다"며 "펨토셀 장비에 대한 장비 수명 주기 관리와 폐기 인증을 의무화할 필요가 있다"고 말했다.
