KT 사고에서 드러난 통신사 보안 허점은?

[IT동아 김예지 기자] KT 침해사고 민관합동조사단이 지난 11월 6일 KT 무단 소액결제 피해 사건에 대한 중간조사 결과를 발표했다. 결과에 따르면, 불법 펨토셀(소형 기지국)이 KT 내부망에 무단 접속해 피해를 야기한 정황과 함께 과거 악성코드에 감염된 서버를 발견하고도 신고하지 않고 자체 처리한 사실이 드러났다.

앞서 10월 KT는 전수조사 기간을 2024년 약 13개월(2024년 8월 1일~2025년 9월 10일)로 확대해 결제이력, 통화기록, 기지국 접속기록을 조사해 불법 펨토셀 20개에 접속한 2만 2227명의 가입자 식별번호(IMSI), 단말기 식별번호(IMEI) 및 전화번호 유출 정황을 확인했다. 무단 소액결제 피해 고객은 총 368명(772건), 피해액은 약 2억 4000만 원으로 발표됐다.

KT, 불법 펨토셀 관리·인증 체계 부실

이번에 밝혀진 KT 침해사고의 직접적인 원인은 펨토셀 관리 체계의 총체적인 부실이었다. 조사단은 “불법 펨토셀이 KT망에 쉽게 접속할 수 있는 환경이었음을 확인했다”고 지적했다. 먼저 KT에 납품되는 모든 펨토셀이 동일한 인증서를 사용했다는 점이다. 이는 곧 인증서가 유출되면 복제하여 불법 펨토셀이 KT 내부망에 위장해 접속하는 것이 가능했다는 의미다. 더욱이 KT 인증서의 유효 기간은 10년으로 설정돼 한 번이라도 접속 이력이 있는 펨토셀은 계속 망에 접근할 수 있었다.

또한 조사단은 KT 내부망에서 펨토셀 접속 인증 시 타사 또는 해외 인터넷 통신 규약(IP)을 차단하지 않았으며, 펨토셀 제품 고유번호, 설치 지역정보 등 등록 여부도 검증하지 않았다고 밝혔다. 통신 장비 공급망의 취약성도 드러났다. 펨토셀 제조사가 셀 계정(셀ID), 인증서, KT 서버 IP 등 중요 정보를 보안 관리 체계 없이 외주사에 제공했다. 공격자가 취약한 공급망을 통해 핵심 인증 정보를 쉽게 탈취해 불법 장치를 제작할 수 있다는 문제점이 드러난 셈이다.

문제는 통신 데이터의 암호화 체계를 무력화했다는 점에 있다. 통신 3사는 국제표준화기구(3GPP) 및 한국정보통신기술협회(TTA) 표준 권고에 따라 단말(휴대전화)-기지국 간 구간 암호화와, 단말-핵심망(코어망) 간 종단 암호화를 적용한다. 구간 암호화는 통신 데이터가 흐르는 경로를 암호화한 것이며, 종단 암호화는 전체 경로를 암호화한 것이다.

조사단은 실험을 통해 불법 펨토셀을 장악한 공격자가 종단 암호화를 해제할 수 있었고, 이 상태에서 불법 펨토셀이 소액결제 인증에 사용되는 ARS 및 SMS 인증 정보를 평문 상태로 취득할 수 있었던 것으로 판단했다. 6일 진행된 브리핑에서 관계자는 “종단 암호화가 해제된 것은 이례적이며, 불법 펨토셀이 휴대전화와 코어망 사이에서 중간 역할을 했기 때문”이라고 설명했다.

이에 조사단은 불법 펨토셀 접속 차단을 위해 통신 3사에 신규 펨토셀 접속 전면 제한, 인증서 유효기간 1개월로 단축, 제품별 별도 인증서 발급 등 조치를 명령했다. 현재 조사단은 결제 인증 정보 외에 문자, 음성통화 등 탈취 가능성에 대해 추가 조사를 진행 중이다.

한편, KT의 미흡한 보안 대응도 도마에 올랐다. KT는 무단 소액결제 사고를 인지하고도 신고를 지연한 점에서 지적받았다. 뿐만 아니라 조사단이 서버 포렌식 분석 중 KT가 2024년 3월부터 7월까지 악성코드(BPFDoor)에 감염된 서버 43대를 발견하고도 신고하지 않았다는 사실을 밝혀냈다. 일부 서버에는 성명, 전화번호, 이메일 주소, 단말기 식별번호(IMEI)가 저장돼 있었다. 이에 관계자는 “KT가 감염된 서버가 43대임을 보고했고, 아직 조사를 통해 밝혀낼 부분이 남아있다”고 말했다.

드러난 인프라 허점, 개선 방안은?

KT 사태를 통해 드러난 보안 취약점은 전통적인 경계 보안 개념의 붕괴를 보여준다. 불법 펨토셀의 침투는 단순한 관리 실수가 아니라, 내부 네트워크 접근 통제 시스템이 미흡했던 구조적인 문제를 드러낸다. 펨토셀은 네트워크 트래픽 분산을 위해 도입된 장비였으나, 엣지에 위치하며 취약한 인증 구조를 가질 경우 코어망을 공격하는 다리가 된다. 특히 이러한 취약점은 수많은 장치들이 연결되는 대규모 환경에서 더욱 위험하다.

특히 펨토셀 제조사가 중요 정보를 보안 관리 체계 없이 외주사에 제공한 사실은 공급망 전체가 취약했음을 나타낸다. 공격자가 보안이 취약한 협력사를 공략해 핵심 인증 정보를 탈취할 가능성이 있는 만큼 통신망 구성 요소 전반의 신뢰성 검증을 공급망 전반으로 확대해야 한다. 공급망 보안이 갖춰지지 않으면 운영사가 아무리 방화벽을 쌓아도 무용지물이 된다.

이러한 가운데, 최근 모든 기업이 갖춰야 할 보안 모델로 ‘모든 접근을 의심하고 검증한다’는 ‘제로 트러스트(Zero Trust)’ 아키텍처가 주목받는다. 내부망이든 외부망이든 모든 접근 요청에 대해 신원을 기반으로 검증하고 최소 권한만을 부여하는 것을 목표하는 방법이다. 내부망 접근 권한을 가진 펨토셀에 동일 인증서와 10년 유효기간을 부여하는 건 제로 트러스트 보안 관점에서 용납되지 않는다. 수많은 엣지와 엔드포인트로 구성돼 경계가 모호한 환경에서는 네트워크 경계가 아닌 데이터 자체를 보호하고, 접근 장치를 지속 검증하는 제로 트러스트 모델 구축이 필수적이다.

지난 4월 SKT 유심해킹 사고 이후 통신3사는 제로 트러스트 보안을 핵심으로 하는 대규모 투자 계획을 발표했다. SKT와 LG유플러스가 향후 5년간 7000억 원, KT가 약 1조 원 투자 규모를 밝힌 만큼 이번 연쇄 사태를 보안 혁신의 전환점으로 삼아야 한다는 목소리가 높다. 보안 업계 관계자는 “보안은 사고가 발생한 후 수습하는 사후 대응 방식이 아니라, 선제적으로 대응해야 하는 영역이라는 인식이 사회 전반에 확산돼야 한다”고 말했다.

통신 인프라의 보안 강화는 우리 삶의 바탕이 되는 국가 통신망을 국민이 믿고 쓸 수 있게 만드는 사회적 책임에 가깝다. 통신사는 이번 사고를 점차 복잡해지는 네트워크 환경과 복잡해지는 위협에 대비하기 위해 새로운 보안을 도입하고, 데이터 중심 보안을 구축하는 기회로 삼아야 한다.

IT동아 김예지 기자 (yj@itdonga.com)