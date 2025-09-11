류제명 과기정통부 2차관 “통신사 대상 침해사고 엄중하게 받아들여” KT 무단 소액 결제 278건, 피해액 1억7000만원 ‘팸토셀’ 10년 전부터 보안 경고…실태 점검으로 보안 취약점 개선 시급

[헤럴드경제=고재우·차민주 기자] KT의 무단 소액 결제 피해 금액이 1억7000여만원에 달한 가운데, 과학기술정보통신부가 통신 3사의 망 관리 실태를 전면 점검하기로 했다.

SK텔레콤의 유심 해킹 사태에 이어 KT에서도 침해사고 발생하면서, 통신사의 보안 관리에 근본적인 대책이 필요하다는 판단에서다.

▶KT 278건, 피해액 1억7000만원…“근본 대책 조만간 발표”= 류제명 과기정통부 2차관은 10일 KT 무단 소액결제 침해 사고 관련 브리핑에서 “과기정통부는 최근 통신사를 대상으로 한 침해사고가 증가하고 있는 상황을 엄중하게 받아들인다”며 “통신 3사의 망 관리 실태에 대한 전면적인 보안점검을 추진하고 이를 토대로 보다 근본적인 대책을 마련해 조만간 발표할 계획”이라고 밝혔다.

과기정통부가 파악한 KT 무단 결제 피해 상황도 드러났다. 현재까지 KT에 접수된 직접적인 관련 민원은 177건, 7782만원이다. 민원 외에 추가 피해사실 여부를 확인한 결과 278건, 약 1억7000만원의 피해가 발생한 것으로 집계됐다.

류 차관은 “KT는 무단 소액결제로 인한 피해를 입은 이용자들에 대해서는 피해 금액 전액을 청구하지 않기로 했다”며 “과기정통부는 타 통신사에 대해서 소액결제 피해가 발생할 경우, 피해 금액을 청구하지 않도록 조치했다”고 설명했다.

현재 KT 무단 결제 침해 사고의 원인으로 ‘펨토셀(초소형 기지국)’이 지목되고 있다. 이용자들이 KT의 공식 기지국이 아닌 ‘가짜 유령 초소형 기지국’으로 접속한 것이 확인됐다. 해커가 가짜 기지국을 통해 얻은 정보를 소액 결제에 악용했을 가능성이 제기된다.

류 차관은 “과기정통부도 KT에 관련 부분을 물어 봤는데, 명쾌한 원인 분석이나 메커니즘이 설명이 안 됐다”며 “인증되지 않은 단말이 코어망에 들어가는 게 가능했는지 부분에 대해서는 조사를 해봐야 안다”고 밝혔다. 이어 “미등록 장치가 확인된 것은 분명한데, 이것만으로 범죄가 이뤄진 것인지 혹은 다른 메커니즘이 있는지는 확인해야 한다”고 덧붙였다.

과기정통부는 민관합동조사단을 꾸려 관련 내용을 조사 중이다.

▶‘초소형 기지국’ 보안 위협, 10년 전부터 경고 있었다= 향후 추진되는 과기정통부의 실태 점검을 통해 통신업계 보안 관리 시스템에 대대적인 체질 개선이 필요하게 될 것으로 보인다.

고객 민감 정보가 집중되는 통신업계의 특성상, 지속적으로 표적의 대상이 될 수 있는 만큼 보안 취약점을 개선하는 것이 시급해졌다.

특히 이번 KT 침해 사고의 원인으로 추정되는 ‘펨토셀’ 역시, 이미 10여년 전부터 전문가들은 보안 취약성을 경고해 왔다. 사전 관리를 통해 피해를 최소화할 수 있었지만 ‘골든타임’을 놓친 것 아니냐는 지적이 나오는 것도 같은 이유다.

펨토셀은 반경 10m 이내 통신을 제공하는 초소형 기지국이다. 음영 지역 해소 목적으로 주로 가정이나 소규모 사무실에서 사용된다.

지난 2013년 미국 보안 기업 iSEC 파트너스의 연구원들은 해외 매체를 통해 “펨토셀을 해킹해 사용자의 전화번호를 가로채고, 문자 메시지를 확인하고, 통화 내용을 도청할 수 있다”고 밝혔다.

당시 보안 기업 베라코드의 부사장이었던 보안 전문가 크리스 엥 또한 “모바일 사용자가 대형 기지국과 펨토셀을 구분할 방법이 없다”며 “커피숍이나 사무실 건물에 악성 펨토셀을 설치하면 통신망을 가로챌 가능성이 있다”고 언급했다.

국내에서도 예고는 계속됐다. 지난 2016년 한국정보처리학회에 발표된 논문 ‘위협 모델링 기법을 이용한 펨토셀 취약점 분석에 대한 연구’는 “기존 기지국 포화 상태 막고자 펨토셀이 보급되고 있는데, 해킹 기술 발전하면서 개인정보 노출과 같은 심각한 문제가 발생 가능하다”고 설명했다.

황석진 동국대 정보보호학과 교수는 “펨토셀은 그간 기술이 발전됐다 해도 본질적인 구조가 무선 공유기와 크게 다르지 않아 항상 보안 이슈가 있었다”며 “해외에서 펨토셀을 통한 침해 사례는 종종 발생했지만, 국내에서 이 같은 사례는 처음으로 KT 또한 미처 신경 쓰지 못한 것으로 보인다”고 말했다.