내용요약 "펨토셀 관리 부실·IMSI 유출, 소액결제 피해로 이어져…국가 차원 보안 강화 필요"
황석진 동국대 국제정보보호대학원 교수가 15일 오전 서울 여의도 FKI타워에서 열린 ‘2025 글로벌 블록체인 포럼’에 참석해 '달러․위안․엔화․원화 스테이블코인들의 패권 전쟁'을 주제로 강연하고 있다. /최대성 기자 dpdaesung@sporbiz.co.kr 2025.09.15.
황석진 동국대 국제정보보호대학원 교수. /최대성 기자 dpdaesung@sporbiz.co.kr 2025.09.15.

| 한스경제=박정현 기자 | KT 소액결제 침해사고의 원인 중 하나로 '펨토셀(초소형기지국)'이 거론되는 가운데, 국내에서 10년 전부터 펨토셀의 위험 가능성이 제기됐다는 전문가 지적이 나왔다. 재발 방지를 위해서는 펨토셀에 대한 국가 차원의 보안 대응을 해야 할 필요성이 제기됐다.

국내 보안 전문가인 황석진 동국대 국제정보보호대학원 교수는 17일 본지와의 인터뷰에서 KT 소액결제 침해사고에 대한 의견을 밝히며 팸토셀 보안 관리를 강화해야 한다고 말했다. KT는 11일 가입자 1만9000여명이 불법 펨토셀 신호를 수신했고 이중 5561명의 국제이동가입자식별정보(IMSI) 유출 가능성이 있으며, 현재 278건의 소액결제 피해가 발생했다고 인정한 상황이다.

황 교수는 KT 펨토셀 운영 방식의 취약성이 IMSI를 유출을 가능하게 했고 해커가 별도로 입수한 개인정보 데이터베이스(DB)와 결합돼 소액결제가 일어난 것으로 추정했다.

황 교수는 "KT 펨토셀 신호에서 암호가 해제됐을 때 해커가 IMSI와 결제 인증번호 등 통신 내용을 가로챌 가능성이 있다. 공격자는 차량을 이용해 금천에서 광명, 과천까지 이동하며 데이터를 수집한 것으로 보인다”고 분석했다.

그러면서 "복호화 프로그램만 장악하면 무선 데이터를 대부분 잡아내는 거라고 보면 된다. 이번 사태는 코어망이 뚫렸다기 보다는 암호 체계의 문제라고 보는게 더 정확하다"고 설명했다. 

업계에 따르면 KT의 문자메시지 전송 방식은 단말기에서 기지국 구간인 '에어망'에서 암호가 해독돼 재가공된 뒤 기지국과 이통사 서버 구간인 코어망으로 전송되는 방식이다. 경쟁사인 SKT와 LG유플러스의 경우 코어망까지 정보가 암호화돼서 전송된다.

KT는 15만여대로 이통3사 중 가장 많은 펨토셀을 가지고 있으면서도 관리가 미흡했던 것으로 알려진다. 국회 과방위 소속 최수진 의원실에 따르면 이통3사가 운영하는 펨토셀 19만5000대 중 33%가 미작동 상태로 확인됐다. 신호가 잡히지 않는 펨토셀의 80% 이상이 KT에서 발생했다. LG유플러스는 2만8000대 중 4000대, SK텔레콤은 1만대 중 3000대가 미작동 상태였다. 

관리되지 않는 불법 펨토셀은 해커가 장비를 분해ㆍ분석해 내부 펌웨어를 조작하거나 초기화를 거쳐 핵심 키값(인증키)을 탈취할 수 있다. 이렇게 확보한 키값으로 통신사 시스템을 속이는 가짜 기지국 구축이 가능해지며, 이를 통해 코어망 접속과 정보 탈취가 이뤄질 수 있다.

황 교수는 펨토셀 장비가 관리되지 않음으로써 불법 장비로 악용된 것이라고 꼬집었다. 게다가 펨토셀을 이용한 해킹 방식은 국내에서는 일어난 초유의 사태지만 학계는 해외의 사례를 통해 10여년 전부터 업계에 경고해왔다며 KT의 기기 관리 미흡을 비판했다.

황 교수는 "무선 전파는 보안이 취약하고 눈에 잘 보이지 않아 국민적 불안이 커지기 쉽다. 해외는 4월 일본에서, 제작년 태국에서 유사 사례가 지속되고 있었다. 이를 보고 10년 전부터 학회에서 경고했지만 KT의 조치가 미흡했던 것으로 본다"고 전했다.

그러면서 국내 이통3사 모두 유사한 장비 인증 구조를 사용하고 있어 한 곳이 뚫리면 다른 곳도 위험해질 수 있다고 우려했다. 그는 “보안 업데이트나 관리 사각지대는 해커에게 좋은 먹이감이 된다. 개인정보 유출은 금융 피해로 연결되는 등 사회적 영향이 복합적으로 나타날 수 있다”고 말했다.

이번 KT 소액결제 침해사고는 또 다른 정보 유출의 가능성이 점쳐지면서 사태가 커질 전망이다.

황 교수는 그는 다크웹 등에서 거래되는 정보 유통 가능성을 언급하며 “소액결제는 성명, 주민번호 등 전반적인 고객 정보가 필요하다. IMSI 유출과 다른 데이터가 결합돼 범죄에 악용됐을 거라고 본다”고 추정했다.

전문가들은 전수조사와 기지국 관리 체계 점검이 필요하다고 입을 모으고 있다. 황 교수는 "KT는 코어망까지 종단간 암호화(E2EE)를 적용해 기지국 단계에서 발생하는 복호화 공백을 없애고, 암호화 알고리즘 업그레이드를 통해 취약점을 보완해야 한다”고 제언했다.

정부도 펨토셀 등 소형 기기에 대한 명확한 가이드를 제시하고 정부 차원의 기지국 장비 현황 조사와 미등록 장비에 대한 단속 강화가 필요하다고 했다.

황 교수는 보안 문제의 핵심은 기술이 아닌 책임과 제도에 있다며 “지금까지는 보안에 대한 사후처리에만 급급했다면 앞으로는 정부 차원의 예방 중심 보안 규정과 감독 강화가 필요하다. 기업에게도 단순 과징금 부과 수준을 넘어선 실질적 제도 개선이 필요하다"고 강조했다.

KT가 기자간담회를 연지 일주일이 지났지만 펨토셀을 활용한 불법 기지국이 KT 네트워크에 침투한 방식, IMSI 유출만으로 소액결제가 어떻게 가능했는지 등을 명확하게 답하지 못하고 있다.

황 교수는 이번 사태를 "국내 사이버 보안 수준을 다시 점검해야 하는 심각한 경고”라고 평가했다.

■ 황석진 교수는

국내를 대표하는 금융보안 전문가로 동국대학교 국제정보보호대학원에서 자금세탁방지(AML) 전공 교수로 재직 중이다. 자금세탁·가상자산·딥페이크 등 신종 금융범죄를 연구했다. 경찰청 디지털포렌식 자문위원과 육군 발전자문위원, 해경 수사심의위원을 맡고 있으며 한국자금세탁방지학회 운영위원장으로 학계와 정책 현장을 잇는 역할을 수행하고 있다.

박정현 기자

저작권자 © 한스경제 무단전재 및 재배포 금지