과거 한 중소기업에서 판매했던 KT 전용 펨토셀.

KT ‘무단 소액결제’ 범행 수단으로 불법 초소형 기지국(펨토셀)이 지목된 가운데 과거 정부 스스로 해당 장비의 보안 취약성을 연구했던 것으로 나타났다.

23일 국회 과학기술정보방송통신위원회 소속 이상휘 의원(국민의힘)이 한국인터넷진흥원(KISA)으로부터 받은 자료를 보면, KISA는 2012년 연구·개발비 4000만원을 투입해 ‘펨토셀 및 GRX 보안 취약점에 대한 연구’를 수행했다.

펨토셀이란 가정, 사무실 등에서 통신 음영 해소와 품질 향상을 위해 사용되는 초소형·저전력 이동통신 기지국을 말한다. 1000조분의 1을 의미하는 ‘펨토’와 휴대전화 통화 가능 지역 단위를 말하는 ‘셀’의 합성어다. 연구가 수행된 2012년은 SK텔레콤이 펨토셀 상용화에 착수하고 KT 역시 초고속 인터넷과 결합한 펨토셀 도입을 검토하던 시점이다.

당시 연구보고서는 펨토셀 보안 위협으로 총 29가지를 제시했다. 그중에는 KT 무단 소액결제 사태에서 나타난 사용자의 인증 토큰 복제가 포함돼 있다. 또한 통신을 주고받는 두 주체 사이에 공격자가 몰래 개입해 정보를 가로채거나 조작하는 MITM(Man-In-The-Middle) 공격 가능성도 포함돼 있다. 이 역시 KT 무단소액 결제 사태에서 나타난 방식이다.

이 의원은 “해당 연구 성과와 활용 방안을 확인하려 했으나 KISA가 문서 보존기간 경과를 이유로 자료를 제출하지 않았다”면서 “당시 별도의 조치가 없었던 것으로 보이는 점을 감안하면 사실상 펨토셀 해킹 우려 연구·결과를 묵인한 셈”이라고 말했다.

펨토셀을 통한 해킹 우려는 그간 꾸준히 제기된 바 있다. 앞서 2013년 미국의 보안기업 iSEC 파트너스는 펨토셀을 통해 통신 감청과 데이터 탈취가 가능하다는 점을 시연한 바 있다. 비밀번호, 금융정보 등 민감 데이터를 스마트폰 종류와 상관없이 탈취해낸 것이다. 이어 2016년에는 “개인정보 노출과 같은 심각한 문제가 발생할 가능성”을 경고하는 국내 연구(위협 모델링 기법을 이용한 펨토셀 취약점 분석에 대한 연구, 김재기·신정훈·김승주)도 나왔다.

다만 통신사들도 펨토셀 해킹 대비가 전무했던 것은 아니다. 통신 3사는 펨토셀을 통해 문자·통화를 가로챌 수 없도록 종단 간 암호화 조치를 취했으나 전문가들은 이 조치가 구형 펨토셀에서 제대로 작동하지 않았을 가능성을 지적한다.

KT가 보유한 펨토셀은 23만2000대로 SK텔레콤(7000대), LG유플러스(2만8000대)에 비해 압도적으로 많다. 그중 최근 3개월간 작동하지 않았거나 고장난 펨토셀은 4만3000대에 이른다. KT는 이 같은 펨토셀에 대해선 철거·회수, 접속 차단 조치를 취하고 있다.