KT의 무단 소액결제 사고는 “국가기간통신망 도청사고”라는 전문가 평가가 나왔다. 국내 이동통신망이 소형기지국(펨토셀)을 경유한 통화 도청에 취약하기 때문이라는 주장이다.

김용대 카이스트 전기전자공학부 교수는 13일 “국제표준화기구(3GPP)와 한국정보통신기술협회(TTA) 표준권고를 준용하더라도 펨토셀을 통한 해킹 시 문자는 암호화가 돼도 통화 내용은 암호화가 안 된다”며 이같이 지적했다.

김 교수는 이날 서울 여의도 국회의원회관에서 최형두 국민의힘 의원과 김한규 더불어민주당 의원 주최로 열린 ‘위기의 K보안 글로벌 해커 타깃 한국’ 토론회에서 펨토셀 해킹을 통한 통화 도청 과정을 보여주며 경고했다.

김 교수는 “펨토셀을 에그(휴대용 와이파이 공유기)와 보조 배터리에 부착하면 어느 곳이든 들고 다니며 도청이 가능하다는 사실을 10여년 전(2014년) 통신 3사에 제보했다”고 설명했다. 그는 암호화된 통화가 펨토셀에서 ‘루트’ 권한을 획득한 해커에 의해 도청되는 과정을 영상으로 시연했다. 그는 “KT가 수십만대의 펨토셀을 하나의 인증키로 관리했는데, 이를 중국측에서 가져온 장비를 통해 뚫고 도청이 이뤄진 것”이라며 “마음만 먹으면 불법 펨토셀이 KT망에 얼마든지 붙을 수 있었던 구조였다”고 설명했다. 이어 “일부가 일탈해 현금을 벌어보겠다며 소액결제를 하면서 사건이 밝혀진 것”이라며 “결국 단순한 소액결제 사건으로 끝날 수 없던 일”이라고 했다.

김 교수는 ‘누구든지 정당한 접근 권한 없이 또는 허용된 접근 권한을 넘어 정보통신망에 침입해서는 안 된다’고 한 정보통신망법 48조 1항 때문에 정보보안 부처들이 기업망의 취약점을 찾아서 알려줄 수가 없는 상태라고 지적했다.

이재걸 기자 claritas@naeil.com