[디지털데일리 오병훈기자] “한계가 있습니다”

류제명 과학기술정보통신부 2차관은 지난 24일 개최된 과학기술정보방송통신위원회(이하 과방위) ‘대규모 해킹 및 소비자 피해’ 청문회에서 이준석 의원(개혁신당)의 통신사의 초소형기지국(이하 펨토셀)에 대한 정부차원 관리 가능성을 묻는 질문에 이같이 답했다.

이번 사태에서 불법 펨토셀을 통해 이용자 개인정보가 유출된 사실이 드러나면서, 펨토셀 관리 부실 문제를 두고 각론이 이어지고 있는 상황이다. 펨토셀은 현재 정부 신고 없이도 설치가 가능해 온전히 기업이 관리책임을 지는 인프라망이다. 그러나 이번 사태를 통해 추가적인 관리감독 강화 필요성이 제기되고 있다.

전문가들은 이번 사태가 반복되지 않기 위해서는 기업들이 의무적으로 인프라망을 모니터링할 수 있는 기능을 도입하도록 하는 조치가 필요하다고 제언하고 있다. 아울러 근본적인 보안 문제 해결을 위한 지속적인 협의체 구성 등이 필요하다고 입을 모으고 있다.

◆민원 해결사 ‘펨토셀’이 정보유출 창구로

펨토셀은 KT의 통신 서비스 과정에서 소비자들의 민원을 해결해주는 중요한 인프라망이다. 이는 KT가 정부로부터 할당 받은 롱텀에볼루션(LTE) 주파수 대역과 연관이 깊다. 800㎒(메가헤르츠) 대역을 사용 중인 SK텔레콤과 LG유플러스와 달리 KT는 1.8㎓(기가헤르츠)를 LTE 서비스 전용 주파수로 사용하고 있다.

고대역 주파수는 커버리지가 좁고 장애물에 쉽게 막힌다는 특성이 있다. KT는 고대역 주파수에 따른 서비스 품질 문제를 해결하기 위한 방안이 필요했고, 이 때 펨토셀이 각 가정집과 영업장에 본격적으로 설치되기 시작했다. KT는 소비자로부터 신호가 약하거나 느리다는 민원이 들어오면 가정집이나 사무실 등 공간에 펨토셀을 설치해주는 식으로 대응했다.

문제는 시간이 지나면서 펨토셀 설치 규모가 늘고, 펨토셀 관리가 제대로 이뤄지지 못하면서 사용이 종료되거나 유실된 기기 추적이 어려웠다는 점이다. 더구나 펨토셀은 지난 2010년 방송통신위원회(이하 방통위)의 고시 개정으로 정부 관리 대상에서도 벗어난 상태였다.

그 결과 불법 펨토셀 등이 코어망에 접속되고, 개인정보 유출 사태 주요 수단으로 활용되는 등 실질적인 피해로 이어졌다는 것이 전문가들 분석이다. 불법 펨토셀이 소액결제사태에 정확히 어떤 역할을 했는지 등은 여전히 조사중인 사항이지만, KT의 펨토셀 등 인프라 관리부실 문제가 심각하다는 점은 분명해진 셈이다.

특히 펨토셀이 코어망과 재접속하는 과정에서 인증이 허술했다. KT는 최초 인증 때만 암호화를 거쳐 코어망에 펨토셀을 접속시켰고, 이후 재인증 과정에서는 등록된 ID 데이터베이스를 기반으로 접속을 허용했다.

구재형 KT네트워크기술본부장은 “한번 접속 및 인가 된 장비는 재인증 절차 없이 접속이 된다”며 “KT 펨토셀을 해킹해서 그 정보를 집어넣을 수도 있고, 기존에 쓰던 장비를 불법으로 신호 증폭해서 붙일 수도 있다”고 설명했다.

◆직접관리는 ‘한계’...“펨토셀 실시간 모니터링 기술 도입”

KT의 펨토셀 관리 문제가 수면 위로 떠오르면서 24일 개최된 과방위 청문회에서 일부 의원은 정부 관리 책임을 지적하기도 했다.

일반적인 기지국 등은 과학기술정보통신부(이하 과기정통부)에 허가를 받고 설치되며, 주기적으로 검사를 실시하는 등 정부의 직접적인 관리감독 체계 하에 있다. 반면, 펨토셀은 지난 2010년부터 이용자 편익과 서비스 품질 보강 효율성을 위해 정부 허가 대상에서 벗어난 바 있다.

청문회 당일 이준석 의원의 “(펨토셀 관리를) 쫓아다니면서 할 수는 없는 것 아니냐”는 질문에 류제명 과학기술정보통신부 2차관은 “한계가 있다”고 답했다.

그러면서 류 차관은 “펨토셀은 신고나 허가 대상이 아닌 기지국으로 분류한 게 맞다”면서 “(고시 개정 당시) 안전대책이 더불어 마련됐어야 하는데 그게 부족했다”고 말했다.

이 의원은 펨토셀에 누구나 물리적으로 접근이 쉽다는 점을 지적하며, 관련 보안 체계가 필요하다고 지적했다. 단순히 신호를 증폭하는 ‘중계기’와 달리 펨토셀의 경우 트래픽 처리 소프트웨어가 작동하는 기지국 기능을 지니고 있다. 펨토셀에 누군가 물리적으로 접근해 내부 펌웨어를 조작하는 등 위험에 노출될 수 있다는 우려다.

이 의원은 “(펨토셀을 설치하는) 장소나 공간에 대한 통제도 굉장히 중요할 것”이라며 “폐쇄회로(CCTV)로 관리되는 공간에만 설치한다든지 제약이 있어야 하는 것은 아닌지 살펴봐야 할 것 같다”고 말했다.

관련해 보안 전문가들은 ‘물리적 접근이 쉽기 때문에 위험에 노출될 수 있다’는 이 의원의 지적은 현실적으로 일어나고 있는 일이라고 평가했다. 일부 해커들은 펨토셀 안 소프트웨어를 악성코드로 바꿔서 적용한 다음에 이곳을 통과하는 데이터를 풀어내거나, 펨토셀에 다른 장치를 추가해 데이터를 복사하는 등 방법이 있다는 설명이다.

다만, 펨토셀의 설치 공간을 제약하는 규제는 현실적으로 한계가 있다는 의견이다. 펨토셀은 주로 사업장이나 가정집 등 소비자 사유 공간에 설치되는 경우가 많다. 펨토셀이 설치되는 곳마다 CCTV를 달 수도 없을 뿐더러, 펨토셀 설치 공간을 제도적으로 규제하는 것은 ‘효율적으로 커버리지를 넓히고자 하는’ 당초 펨토셀 운영 취지와도 맞지 않다는 설명이다.

이에 전문가들은 펨토셀의 이같은 공격탐지 기능을 강화하는 방안 등을 제시했다. 통신사들이 펨토셀에 보안 모듈을 추가해 각종 소프트웨어 조작과 악성코드를 탐지할 수 있는 기능을 도입하는 방식으로 이번 사태와 같은 일을 미연에 방지할 수 있다는 것이다.

이경호 고려대학교 정보보호대학원 교수는 “공격이나 조작을 탐지할 수 있는 모듈을 추가하는 방식으로 해결할 수 있다”며 “추가된 보안 모니터링 모듈은 펨토셀이 스스로 소프트웨어 변경 여부를 실시간으로 확인하는 방법”이라고 말했다.

그러면서 “이같은 보안 기술을 기업이 의무 적용하도록 하는 방안을 생각해볼 수 있다”며 “물리적으로 모든 기기를 관리하는 것에는 한계가 있는 만큼, 기술 고도화로 이를 해결하는 방식이 효율적”이라고 설명했다.

보안 및 정책 전문가들은 SK텔레콤부터 KT, 예스24, 롯데카드 등 잇따른 해킹 사고 재발 방지를 위해서는 실효성 있는 보안 관리 체계를 정비할 필요가 있다고 입을 모았다. 물론, 그 방법에 대해서는 전문가들마다 의견이 다양하다.

먼저 금융기관을 감독하는 ‘금융감독원’이 있듯 기업의 정보보호 기반을 감독하는 ‘정보보호감독원’ 등 기구가 필요하다는 의견이다. 가입자 내지 소비자 보호 체계를 기업에만 맡기기보다는 외부에서 이를 지속 감독하는 조직이 필요하다는 설명이다.

반면, 통신사를 중심으로 하는 자율규제 협의체와 전문가 가이드라인 협의체 등으로 해결해야 한다고 보는 전문가도 있다. 정부의 직접 개입보다는 전문가들이나 통신사 간의 공조 체계를 구축해 현실적인 방안을 고민하는 환경을 마련하는 것이 중요하다는 지적이다.

한 정책 전문가는 “정부가 강제적으로 제도나 가이드라인을 마련해주는 것은 빠르게 변화하는 보안 트렌드 등을 따라가기엔 경직도가 크다”며 “통신사를 비롯해 네트워크 시스템 정보보호 전문가를 모아서 스스로 현실적인 해결 방안을 찾고 가이드라인을 발굴하는 방식으로 하는 것이 현실적”이라고 전했다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -