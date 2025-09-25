알리바바 등 中유통플랫폼 통신장비 판매 별도통계 없고 ‘무선통신기기’로 통합 집계 펨토셀, 정부 정보보호 인증심사서도 누락

KT 해킹 사태를 부른 ‘펨토셀(초소형 기지국)’이 총체적인 관리 ‘사각지대’에 놓여 있었던 것으로 드러났다.

중국 유통 플랫폼에서 해킹에 악용될 수 있는 통신장비가 버젓이 판매되고 있지만, 이에 대한 수입 현황조차 파악되지 않은 것으로 조사됐다. 통신 사업자뿐만 아니라 정부 역시 통신장비 관리 체계를 대대적으로 점검해야 한다는 지적이 나온다.

▶펨토셀, 단말식별번호수집기 등 알리바바에 버젓이 판매=25일 국회 과학기술정보방송통신위원회 소속 김장겸 국민의힘 의원실에 따르면 관세청은 무선통신장비에 대한 수입 통계를 집계하지 않는 것으로 확인됐다. 관세청은 무선통신장비에 대한 품목번호(HS)가 없어 ‘무선통신기기’에 포함해 집계하고 있다.

알리바바 등 중국 유통 플랫폼에서 무선 통신장비가 판매되고 있지만, 국내에 얼마나 유입됐는지는 파악조차 불가능한 셈이다. 알리바바에서는 ‘IMSI 캐처(가입자식별번호 수집기)’ ‘IMEI 캐처(단말식별번호 수집기)’ ‘휴대용 무선 기지국’ 등을 손쉽게 구매할 수 있다. IMSI와 IMEI는 개인정보의 일종으로, KT 무단 소액결제 사건에서도 초소형 기지국(펨토셀)을 활용해 해당 정보를 유출한 것으로 알려졌다.

통관 과정에서 해킹에 악용될 수 있는 통신장비가 걸러지지 않고 있다는 우려도 나온다. 경기남부경찰청 사이버수사대에 따르면 KT 무단 소액결제 피의자 A씨는 범행도구의 일부를 중국으로 반출한 것으로 확인됐다.

A씨는 지난 5일 노트북 1대와 대포폰 1대, 펨토셀을 구성하는 안테나 등 장비 27종을 라면박스 크기 상자 2개에 나눠 담았다. 노트북과 대포폰은 보따리상을 통해 중국으로 옮겨졌지만, 경찰은 평택항에서 안테나 등 장비 27종의 반출은 막았다.

관세청의 무선통신장비 미통과 현황에 따르면 2022년과 2023년 각 7건, 지난해 10건에 그쳤다. 김장겸 의원은 지난 24알 열린 KT·롯데카드 해킹 사태 청문회에서 “가짜 기지국, 차량 탑재용 고출력 장비, 휴대용 무선 기지국, 배낭에 넣고 다닐 수 있는 초소형 모델까지 알리바바나 알리익스프레스 등에서 판매·홍보되고 있다”며 “일부 구매자는 한국에 들여왔다가 다시 반출하는 등 (장비 이동이) 왔다 갔다 하는 거 같다”고 말했다.

이에 대해 류제명 과학기술정보통신부 제2차관은 “부족한 점이 있는지 면밀하게 돌아보고 이번에 확실히 고칠 수 있는 부분들은 고쳐 나가도록 하겠다”고 답했다.

▶펨토셀, 정부 정보보호 인증 범위에도 빠져…관리 허점 투성=KT 해킹 사태의 원인이 된 펨토셀은 제대로 된 정보보호 인증심사조차 받지 않는 것으로 나타났다.

국회 과통위 소속 이해민 조국혁신당 의원실이 한국인터넷진흥원(KISA)으로부터 제출받은 ‘정보보호관리체계(ISMS)-P 인증제도 안내서’에 따르면 펨토셀은 ISMS-P 인증 범위에 빠져있다.

안내서는 ISMS-P의 인증 범위를 ‘정보제공자(IP) 기반의 인터넷 연결을 위한 정보통신설비나 관련 서비스를 제공하기 위한 정보통신설비’로 규정했다. 이 정의에 따르면 펨토셀과 무선기지국도 인증 범위에 포함되지만, 실제 인증심사에서는 누락된 것이다.

KISA는 “ISMS-P 인증은 인력과 예산의 한계로 코어망 중심으로만 진행되고 있다”며 “무선기지국은 중앙전파관리소가 관리하기 때문에 범위에 포함하지 않는다”고 설명했다.

이해민 의원실에 따르면 중앙전파관리소와 한국방송통신전파진흥원이 실시하는 무선기지국 검사는 장비의 성능과 전파의 혼섭이나 간섭 여부만 확인하고 보안성 검증을 하지 않는다.

이해민 의원은 “ISP 사업자의 경우 코어망 외부에서도 보안 사고가 발생하는 만큼 인증 범위를 확대해야 한다”며 “형식적인 서류심사나 체크리스트 위주의 인증이 아니라 실제 해킹 위협 시나리오를 토대로 보안관리 체계를 개편해야 한다”고 강조했다.

이해민 의원은 ISMS-P 제도의 실효성 부족도 비판했다. 그는 “해킹 피해를 본 기업은 ISMS나 ISMS-P 인증을 받은 곳이다”며 “국민은 정부 인증을 신뢰하고 기업 서비스를 이용하지만, 현실과 동떨어진 인증 기준과 기업 자율에 맡긴 형식적 검토만으로 보안 수준을 높일 수 없다”고 지적했다. 권제인 기자