통신 전체 파고드는 해킹… 민관, 종합점검 나서야 [통신사 해킹③]

2025-09-22     홍주연 기자

KT 무단 소액결제 사건이 단순한 개별 사고가 아닌, 통신 인프라 전반의 보안 위협으로 확산되고 있다. 기존 해킹 사고와는 유형과 차원이 다르다는 평가도 나온다. 네트워크 등 한정된 영역만을 노렸던 과거 방식과 달리, 통신 서비스 전반을 파고들었기 때문이다.

. / 구글 AI 스튜디오

22일 업계에 따르면, 전문가들은 이번 KT 소액결제 사건이 단순한 해킹이 아니라 통신사의 서비스 시나리오 전반에 내재된 구조적 허점에서 비롯됐다고 분석한다. 가상 기지국 등을 통한 공격 가능성이 제기되면서, 기술적 보안 조치만으로는 대응이 어렵다는 지적이다.

이번 사건의 핵심은 소형 기지국(펨토셀)을 활용한 공격이지만, 그 파급 효과는 통신 생태계 전반으로 확산되고 있다. 황석진 동국대 국제정보보호대학원 교수는 “이번 KT 소액결제 사건은 KT만의 문제가 아니라, 이동통신 전반의 점검이 필요하다”라고 진단했다.

김용대 카이스트 전기전자공학부 교수는 “통신망의 소형 기지국 자체가 구조적 취약점을 안고 있다”며 “가정용 인터넷망을 사용하는 특성상 보안 위험이 원천적으로 존재한다”고 말했다. 그는 “2015년 이전 연구에서 통신사의 소형 기지국에서 문자와 통화 도청이 가능한 취약점을 발견했다”며 “이후 암호화가 강화됐지만 여전히 허점은 남아 있다”고 설명했다.

특히 구형 장비나 단말기의 경우, 최신 암호화 기술을 지원하지 못해 보안 수준이 낮은 구형 프로토콜로 회귀할 수 있다. VoLTE 기반 음성 통화 역시 시그널링은 암호화되지만, 음성 데이터 자체는 도청이 가능한 상태다.

김 교수는 성급한 해결책보다 정확한 원인 규명이 우선이라고 강조했다. 그는 “이번 사고의 원인으로 지목된 펨토셀이 신형 장비인지, 구형 장비인지에 따라서도 대응 방향이 달라질 수 있다”며 “지금은 단기적인 솔루션보다 수사 결과와 기술 분석이 필요한 단계”라고 말했다.

과학기술정보통신부는 통신사를 겨냥한 침해 사고가 잇따르는 상황을 엄중하게 인식하고, 통신 3사의 망 관리 실태에 대한 전면 보안 점검에 나서기로 했다. 류제명 과학기술정보통신부 제2차관은 10일 KT 고객 무단 소액결제 사고와 관련한 브리핑에서 민관합동조사단 조사 상황과 이용자 피해 대책을 설명했다.

류 차관은 “4월 SK텔레콤 침해 사고에 이어, 국가 배후 조직의 해킹 정황, 휴대전화 소액결제 피해와 같은 사건이 연이어 발생한 상황을 엄중히 보고 있다”며 “통신 3사의 망 관리 실태에 대한 전면 보안 점검을 추진하는 한편, 이를 토대로 보다 근본적인 대책을 마련해 조만간 발표할 계획이다”라고 말했다.

과기정통부와 정보통신기획평가원은 ‘정보통신망 보안 강화를 위한 법제 개선방안 연구’ 과제를 공고했다. 2023년 LG유플러스 고객정보 유출, 2024년 SK텔레콤 유심정보 유출 등 반복되는 통신망 보안 사고에 대응할 법·제도 개선의 기초 자료로 활용하기 위한 목적이다. 정보통신망법, 전기통신사업법 등 기존 정보보호 관련 법령의 통신망 보안 적용 현황을 분석하고, 통신망에 특화된 보안관리 체계 구축을 검토할 예정이다.

민간에서는 보안 시장 확대에 대한 기대가 커지고 있다. 이번 KT 사태를 계기로, 무허가 중계기를 원천 차단할 수 있는 ‘VIA-PUF’ 칩을 보유한 보안업체 아이씨티케이(ICTK)가 주목받고 있다. 해당 칩은 물리적으로 복제가 불가능해, 비인가 접속을 원천 차단할 수 있다는 점에서 주목된다.

이 외에도 여러 보안 기업들이 통신사들의 보안 투자 확대 소식에 기대감을 나타내고 있다. 한 보안업체 관계자는 “통신사들이 경쟁적으로 보안 투자 확대를 선언한 것만으로도 업계의 기대는 크다”며 “새로운 고객사 유치를 위한 영업에 힘을 싣고 있다”고 말했다.

전문가들은 이번 KT 사건을 계기로 통신업계 전반의 보안 패러다임 전환이 필요하다고 입을 모은다. 단순 해킹 대응 수준을 넘어서, 통신 서비스 시나리오 전반의 구조적 보안 허점을 보완하고, 인증 강화와 한도 조정을 통해 비대면 결제·개통 서비스의 안전성을 확보해야 한다는 주장이다.

김용대 교수는 “우리 사회 전반적으로 보안에 대한 불감증이 있다”며 “근본적인 고질적 문제를 해결하지 않는 이상, 보안 사고는 앞으로도 계속 발생할 수밖에 없다”고 지적했다.

홍주연 기자
jyhong@chosunbiz.com