"알리서 구매 가능한 펨토셀"…불법 장비 차단 못한 KT

(서울=뉴스1) 윤주영 유재규 기자 = KT(030200) 무단 소액결제 범죄에 활용된 불법 초소형기지국(펨토셀)이 회사 장비가 아닌, 해외에서 개조된 사제품인 것으로 드러났다. KT망이 불법 사제 장비를 차단하는 보안적 장치를 제대로 갖추지 못했단 의미다.

이런 불법 펨토셀 장비·부품은 블랙마켓에서 쉽게 구할 수 있다. 마음만 먹으면 누구나 공격을 감행할 수도 있었다는 의미다.

25일 경기남부경찰청에 따르면 중국국적 피의자 A 씨가 쓴 펨토셀은 해외에서 제작된 뒤 국내 반입된 것으로 분석된다. 한때 KT는 회사가 미처 수거 못한 잔류 장비가 탈취된 것으로 추정했으나, 이를 뒤집는 결과가 나왔다.

경찰은 A 씨를 검거했던 16일, 평택항 인근에서 해당 장비들을 확보했다. 네트워크 장비 등 27개 개별 부품이 2개 박스에 들어있었다.

경찰이 조사를 의뢰한 장비 전문가들에 따르면 장비들은 KT가 쓰던 순정 펨토셀로 보긴 어렵다. 개조된 부분도 있다고 한다. 전문적 공학 지식이 없다는 피의자 A 씨는 시연을 통해 펨토셀을 10여분 만에 조립 후 구동까지 해냈다.

각 부품이 어떤 기능을 하는지, 이 중 KT 벤더사로부터 흘러나온 것들이 있는지는 추가 확인이 필요한 상황이다.

장비의 비정상적 연결을 허용했단 점에서, KT 시스템 보안 대책이 예상보다 더 허술했다는 의혹이 나온다.

박기웅 세종대 정보보호학과 교수는 "가정에 보급되는 IP 타임 공유기 등을 보면 소유자 이외 무단 사용을 막도록 하는 관리용 키값 등이 있다"며 "공격자가 펨토셀을 (KT 망에) 연결해 주는 관리용 키값을 탈취한 뒤, 중앙 시스템을 속였을 가능성이 있다"고 했다.

무단 연결을 방어하는 기술적·정책적 장치가 아예 없었다면 더 큰 문제가 된다.

KT 망은 다른 부분에서도 허점을 보였다. 미사용 펨토셀 자동 차단, 위치 급변 시 고윳값 등록 삭제 등 기본적인 체계가 없었던 것으로 알려졌다. SK텔레콤(017670)이나 LG유플러스(032640)는 오랫동안 사용이 안 됐거나 일정 거리를 이동한 이상 펨토셀은 자동 탐지 후 차단했다.

유통된 불법 장비는 단순 문자 발송을 넘어 발신자 번호 위장, 강제 접속, IMSI·IMEI 등 단말 식별정보 수집까지 가능하다. 한국 통신사 2곳의 주파수 전 대역을 지원한다는 홍보 문구도 확인됐다.

가짜 기지국, 차량 탑재용 고출력 장비, 휴대용 무선 기지국, 배낭에 넣고 다닐 수 있는 초소형 모델까지 알리바바나 알리익스프레스 등에서 판매되고 있는 상황이다.

이같은 불법 장비 반입은 유통 관리의 허점을 우회해 이뤄졌다. 펨토셀 같은 무선통신장비는 별도 품목번호가 없다. 수출입 무역통계에 독립 항목으로 집계되지 않고 '무선통신기기'로 묶인다.

김승주 고려대 정보보호대학원 교수 역시 통신장비가 보안성 평가 대상에서 배제됐다는 점을 지적했다. 김 교수는 "사고를 예방하려면 관련 평가인증제도부터 손질해야 한다"고 했다.

legomaster@news1.kr