KT의 무단 소액결제 사고에서 핵심 수단으로 활용된 ‘펨토셀’ 기술이 이미 13년 전부터 보안상 취약하다는 경고가 있었던 것으로 드러났다. 그러나 해당 연구 결과가 실제 보안 대책으로 이어지지 못하면서, 결국 수년 후 대규모 피해로 이어졌다는 비판이 제기되고 있다.
국회 과학기술정보방송통신위원회 소속 이상휘 의원(국민의힘)은 2025년 9월 23일 한국인터넷진흥원이 지난 2012년 수행한 '펨토셀 및 GRX 보안 취약점에 대한 연구' 보고서를 공개하며 이같이 지적했다. 보고서에는 펨토셀 장비에서 발생할 수 있는 보안 위협 요소 29가지가 명시됐는데, 이 중에는 이번 KT 사건과 관련 있는 사용자 인증 정보의 복제, 그리고 중간자 공격(공격자가 네트워크 통신 과정에 몰래 개입해 정보를 가로채거나 조작하는 방식)의 위험성도 포함돼 있었다.
펨토셀은 신호가 약한 실내나 지하 공간에서 모바일 통신 품질을 개선하기 위해 설치하는 초소형 기지국으로, 일반 가정이나 소규모 사업장 등에서 활용돼 왔다. 그러나 이 장비가 일반 통신망과의 연결을 거치며 보안 관리가 미흡한 사각지대로 작용할 수 있다는 경고는 이미 수년 전부터 제기되어 왔다. 실제로 보고서 작성 당시 SK텔레콤은 펨토셀의 상용화를 시작했고, KT는 자사 초고속 인터넷망과 결합해 활용하는 방안을 내부적으로 검토하던 중이었다.
이상휘 의원은 당시 연구 성과가 이후 보안 패치나 시스템 강화로 이어졌는지를 확인하기 위해 관계 기관에 관련 자료를 요청했지만, 한국인터넷진흥원은 문서 보존기간이 지났다는 이유로 이를 제공하지 못했다고 밝혔다. 이에 대해 이 의원은 “13년 전의 경고가 제대로 반영되지 못한 탓에 결국 현재의 보안 사고로 이어지는 결과를 낳았다”며 문제의 심각성을 강조했다.
이번 사건은 단순한 해킹 사고에 그치지 않고, 과거의 기술 연구가 실제 정책과 제도적 대응으로 이어지지 못할 경우 어떤 위험이 현실화될 수 있는지를 단적으로 보여주는 사례로 해석된다. 이 의원은 “연구보고서에 머무르지 않고, 이런 자료들이 실질적인 대책으로 연결되도록 해야 한다”며 정부와 관련 기관에 제도 개선을 촉구했다.
이 같은 흐름은 향후 정보통신 인프라 보안 강화와 함께, 기술 도입 단계에서의 안전성 평가 강화, 그리고 연구성과의 실효성 있는 활용 시스템 마련 등의 논의로 이어질 가능성이 있다. 특히 사물인터넷(IoT)이나 모바일 네트워크 보안 취약점에 대한 선제적 대응의 중요성이 다시 한 번 강조되고 있다.
<저작권자 ⓒ TokenPost, 무단전재 및 재배포 금지>