국회 국가미래전략기술포럼이 13일 서울 여의도 국회의원회관에서 '위기의 K보안 글로벌 해커 타깃 한국'을 주제로 열렸다./안상희 기자

"KT 무단 소액결제 해킹 사고는 국가기간통신망 도청 사고로 해석됩니다."

국회 국가미래전략기술포럼이 '위기의 K-보안, 글로벌 해커 타깃 한국'을 주제로 13일 서울 여의도 국회의원회관에서 최형두 국민의힘 의원과 김한규 더불어민주당 의원 주최로 열렸다. 이날 김용대 카이스트 전기전자공학부 교수는 "국제표준화기구(3GPP)와 한국정보통신기술협회(TTA) 표준권고를 준용하더라도 펨토셀(소형 기지국)을 통한 해킹 시 문자는 암호화가 돼도 통화 내용은 암호화가 안 된다"며 이같이 주장했다.

과학기술정보통신부가 운영 중인 민관합동조사단은 작년 8월 1일부터 올해 9월 10일까지 불법 펨토셀 20개를 통해 KT 가입자 2만2227명의 개인정보가 유출됐고, 368명이 2억4319만원의 소액 결제 피해를 본 사실을 확인했다고 지난 6일 발표했다. KT 무단 소액결제 사건의 범행 수단으로는 초소형 기지국 펨토셀이 불법적으로 악용된 것으로 파악되고 있다.

KT 해킹 사고에서 해커가 무단 소액결제를 위해 필요했던 정보는 이름, 전화번호, 생년월일 그리고 ARS 결제 인증 번호 및 문자 인증이었다. 김 교수는 "해커 입장에서 개인정보를 구하는 것은 어렵지 않은 일이지만, 그다음 정보는 통화 내용을 들어야 정보를 얻을 수 있었을 것"이라고 지적했다. 그는 "원래는 펨토셀 장비를 랜선에 꽂아야 하는데 실험해보니 펨토셀을 에그(휴대용 인터넷 공유기)와 보조 배터리에 부착하면 어느 곳이든 들고 다니며 도청이 가능했다"며 "이를 10년 전 통신 3사에 제보했다"고 했다.

김 교수가 참여한 카이스트 연구팀은 2014년 해커가 펨토셀을 해킹하면 통화 도청을 포함한 여러 보안 취약성이 있다는 점을 통신 3사에 전달했다. 그는 이날 통신 3사에 전달했던 동영상도 공개했다.

카이스트 연구팀은 2014년 펨토셀의 보안 취약성을 통신 3사에 전달했다./안상희 기자

KT는 2016년부터 25만6000대의 펨토셀을 보급했는데, 해당 기기들이 모두 하나의 인증서를 사용해 불법 펨토셀이 쉽게 KT 내부망에 접근할 수 있는 구조였다. 김 교수는 "KT가 수십만대의 펨토셀을 하나의 인증키로 관리했는데, 이를 중국 측에서 가져온 장비를 통해 뚫고 도청이 이뤄진 것"이라며 "마음만 먹으면 불법 펨토셀이 KT 망에 얼마든지 붙을 수 있었던 구조였다"고 말했다. 그는 "하지만 해당 조직 중 일부가 일탈해 현금을 벌어보겠다며 소액 결제를 하면서 사건이 밝혀진 것"이라며 "결국 단순한 소액 결제 사건으로 끝날 수 없던 일"이라고 우려했다.

KT 해킹 사고 이후 구조적 문제에 대한 경고는 이어지고 있다. 국정원이 최근 국회 과학기술정보방송통신위원장인 최민희 더불어민주당 의원에게 제출한 자료에 따르면, 지난 9월 일부 KT 스마트폰에서 문자메시지(SMS) 암호화가 해제되는 현상을 확인한 뒤 이를 국가 사이버 안보를 위협할 수 있는 중대한 정보로 판단해 KT와 과학기술정보통신부에 공식 통보했다. 국정원은 문자 통신이 '종단 암호화(End-to-End Encryption)' 방식으로 보호되지 않아 중간 서버에서 복호화될 수 있는 취약점을 확인했다.

김 교수는 한국이 해커들의 타깃이 된 것에 대해 법적 문제를 언급했다. 현재 정보통신망법 48조 1항은 "누구든지 정당한 접근 권한 없이 또는 허용된 접근 권한을 넘어 정보통신망에 침입해서는 안된다"고 명시돼 있다. 그는 "해커들은 기업망의 취약점을 찾아 공격하는데, 한국인터넷진흥원(KISA)에 기업들에 망의 취약점을 찾아서 알려줘야 하는 것 아니냐고 물으니 48조 1항 법 위반이라 불가능하다고 했다"며 "해당 법 조항 때문에 한국은 해커들에게 공격받기 쉽다"고 말했다.

이날 김재기 S2W 위협 인텔리전스 센터장은 '확장되는 사이버위협: 가상세계에서 산업현장까지'를 주제로 발표하며 협력업체를 통한 해킹 공격을 경고했다. 김 센터장은 "최근 기업들이 업무를 진행하는 데 있어 모든 것을 자체적으로 처리하기보다 외부 업체와 협력하는 일이 많아진 만큼 관리와 보안에 대한 위험 노출도 커져 대응에도 협업이 필요한 상황"이라고 했다.

김 센터장은 정책적으로는 민감 및 개인정보 보호와 관련된 보안 요구 사항을 계약서에 명확히 명시하고, 침해 대응 계획을 수립할 때는 사고 발생 대응 절차와 책임 소재 범위를 명확히 규정해야 한다고 조언했다. 실질적인 방안으로 △지속적인 보안 감사와 유출 정보 모니터링을 통한 보안 유지 △정기적인 수탁사의 보안 조치 점검 및 평가 △수탁사 직원을 대상으로 한 개인 정보 보호와 관련된 교육 및 훈련 실시를 제안했다.