KT가 운영하는 소형 기지국(펨토셀)이 내부 코어망에 접속하기 위해 필요한 '벤더인증키'가 하나의 동일한 인증키를 사용해 보안에 취약했던 것으로 드러났다. 펨토셀은 최근 KT 무단 소액결제 사건의 범행 수단으로 지목됐는데, 반경 10m 이내 통신을 제공하는 초소형 기지국을 말한다. 이론상 해커가 하나의 펨토셀 벤더인증키만 확보하면 수시로 KT 코어망을 드나들 수 있었다는 이야기다. 이는 관리의 문제를 넘어 보안 인증 절차의 구조적 결함이 있었다는 사실을 보여준다.
21일 국회 과학기술정보방송통신위원회 소속 김장겸 국민의힘 의원실에 따르면, KT는 펨토셀 기기 내부에 장착된 '벤더인증키'를 제품 각각이 아닌 하나로 통용해 사용한 것으로 확인됐다. KT 펨토셀은 KT가 국내 통신기기 업체 이노와이어리스와 합작으로 개발한 제품이다. 2016년부터 25만6000대를 보급해 현재 18만9000대가 운용 중인데, 해당 기기들이 모두 하나의 벤더인증키를 사용했다.
벤더인증키는 내부 코어망에 접속하기 위한 필수 절차다. KT가 운영한 펨토셀이 통신사 중앙 서버인 내부 코어망에 접속하는 방식은 다음과 같다. KT 펨토셀에 벤더인증키가 소프트웨어 형태로 들어가 있고, 이것이 KT 코어망에 접속하면 인증 서버에서 각 펨토셀마다 인증서를 부여하게 된다. 이후 펨토셀의 코어망 접속은 발급된 인증서로 이뤄진다.
KT 내부 코어망에 접속할 수 있는 벤더인증키를 해커가 탈취했다면 불법 펨토셀이라도 접속할 수 있는 구조였던 것이다. 펨토셀 내부에 더인증키만 있으면 KT 인증서버가 해당 기기를 정상 펨토셀로 인식해 접속 인증서를 부여하기 때문이다.
펨토셀은 전파 음영 해소용으로 특정 위치에 설치된다. 따라서 정상적인 장비라면 무단 이용이 탐지되면 즉시 접속이 차단돼야 한다. 같은 제조사 제품을 사용하는 LG유플러스의 경우, 제품마다 인증서(IPsec키)에 개별번호를 부여하고 이를 암호화해 관리하고 있다.
KT는 이달 17일 '소액결제 피해 관련 전수 조사 결과 발표' 브리핑을 통해 불법 펨토셀 ID를 추가로 16개 더 찾아내 총 20개로 확인했다고 발표했다.
앞서 KT는 펨토셀 인증서의 유효 인증 기간을 10년으로 설정해 사실상 재검증 없이 내부망 접속을 허용해 온 점을 인정했다. 이를 통해 펨토셀이 폐기되거나 분실돼도 시스템상으론 여전히 정상 장비로 인식되는 치명적 허점을 보였는데, 이것이 더 쉽게 가능했던 이유는 펨토셀이 모두 하나의 벤더인증키를 써왔기 때문이다. KT는 뒤늦게 펨토셀 인증서 유효 기간을 1개월로 축소하고, 재부팅으로 다시 접속할 때에는 인증서를 다시 받도록 조치했지만 펨토셀 관리에 대한 부실 책임을 피하기는 어려워 보인다.
김영섭 KT 사장은 지난달 24일 국회에서 열린 '대규모 해킹 사고 및 소비자 피해 관련 청문회'에 출석해 펨토셀 관리를 어떻게 하고 있느냐는 질문에 "관리 부실이 맞다"며 "그동안 회수 관리도 부실했고 이번 사고 이후 (불법 펨토셀이) 망에 붙지 못하도록 조치했다"고 답변했다.
김장겸 의원은 "KT가 수십만 대의 펨토셀에 동일한 인증키를 사용했다는 것은 상식적으로 납득하기 어려운 일"이라며 "이는 단순한 관리 부실이 아니라 코어망 관리라는 통신사의 기본 책무를 포기한 것으로, 정부와 통신사는 이번 사태를 계기로 코어망 인증 체계 전반을 재점검하고 이용자 보호 조치에 즉각 나서야 한다"고 말했다.