KT가 10년간 사용해 온 인증키 관리 부실로 인해 대규모 개인정보 유출 사태가 발생했다. 해커들은 이 틈을 이용해 소형 기지국(펨토셀)에 접근했고, SMS 인증번호는 물론 일부 통신 내용까지 빠져나간 것으로 확인됐다. 문제는 이런 정황이 장기간 이어졌음에도 KT 내부에서 이를 인지하지 못했다는 점으로, 통신망 전반의 보안 점검 필요성이 제기되고 있다.

3일 <메트로경제 신문> 취재 결과 KT 소액결제 사건의 본질은 '10년간 방치된 인증키'와 '관리 부재'가 만들어낸 인재(人災)로 귀결된다.

이번 사태의 가장 치명적인 문제점은 KT가 전국 15만7000여 대의 펨토셀을 단 하나의 '인증키'로 관리했다는 점이다. 심지어 인증서의 유효기간은 10년이었다. 통상적인 보안 장비들이 주기적으로 인증서를 갱신하며 보안성을 강화하는 것과 대조적이다. 심지어 이 인증키는 평문으로 저장되어 있어, 장비 하나만 확보하면 누구나 추출이 가능했다. 결국 해커들은 추출한 '만능 인증키'를 이용해 불법 개조한 장비를 정상적인 KT 기지국인 것처럼 위장했다. KT의 코어망은 이들이 아군인지 적군인지 식별할 수 있는 검증 절차가 전무했다.

더 큰 문제는 펨토셀이 단순한 중계기를 넘어 '정보 유출의 통로'가 되었다는 점이다. 이론적으로 통신 구간은 '종단간 암호화(E2EE)'가 적용되어 있어 중간에서 데이터를 가로채더라도 내용을 알 수 없어야 한다. 그러나 일당들은 펨토셀을 장악해 이 암호화 체계마저 무력화시켰다. 불법 펨토셀은 단말기와 통신할 때 '암호화를 지원하지 않는다'는 가짜 신호를 보내 보안 기능을 강제로 해제(Downgrade Attack)시켰다. 이로 인해 SMS 인증번호는 물론, 개인정보와 음성 통화 내용까지 평문으로 해커의 손에 넘어갔다. 일부 단말기는 애초에 암호화 설정이 꺼져 있었던 것으로 드러나 관리 부실의 심각성을 더했다.

해커들은 이를 통해 피해자의 휴대폰으로 전송되는 소액결제 승인 문자를 실시간으로 가로챘다. 368명의 피해자가 발생했고, 2억4000만 원이 결제됐다. 하지만 전문가들은 이것이 '빙산의 일각'일 수 있다고 경고한다. 펨토셀이 설치된 지역을 지나는 불특정 다수의 통화 내용이 도청되었을 가능성도 배제할 수 없기 때문이다.

전문가들은 이번 사건을 단순한 금전 탈취 범죄로 축소 해석하는 것을 경계해야 한다고 입을 모은다. 김용대 카이스트 정보보호대학원 교수는 이번 사태를 두고 "국가 기간통신망에 대한 대규모 도청 인프라가 드러난 보안 참사"라고 규정했다.

김 교수는 특히 305일간 작동했으면서도 금전 피해를 전혀 입히지 않은 '6번 펨토셀'의 존재에 주목했다. 그는 "2억4000만 원이라는 피해 규모는 구축된 정교한 해킹 인프라에 비해 터무니없이 작다"며 "범죄 조직의 진짜 목적은 대규모 통신 데이터(VoLTE 통화, SMS 등) 수집이었으며, 조직 내 누군가의 탐욕으로 소액결제를 시도하다가 은밀했던 도청망이 꼬리를 밟힌 것"이라고 분석했다. 이어 "해외 조직이 수년간 감시망을 가동했을 가능성이 높은 만큼, 국정원 등 안보 라인이 개입해 배후를 추적해야 한다"고 강조했다.

KT의 대응 방식 또한 도마 위에 올랐다. KT는 지난해 서버 43대가 악성코드(BPFDoor)에 감염된 사실을 파악하고도 이를 정부에 신고하지 않고 자체적으로 덮으려 했다는 의혹을 받고 있다.

입법조사처는 "KT가 코어망 및 기지국에 대한 관리를 소홀히 하여 안전한 통신 서비스 제공이라는 주된 계약상 채무를 다하지 못했다"고 지적했다. 이는 단순 과실을 넘어 이용자와의 신뢰 관계를 근본적으로 훼손한 행위라는 것이다.

정부는 현재 KT에 대해 전 고객 위약금 면제와 영업정지 등 고강도 제재를 검토 중이다. 배경훈 과기정통부 장관은 "조사 결과가 나오면 법에 따라 엄정하게 조치하겠다"고 밝혔다.