[디지털데일리 강소현기자] 올해 SK텔레콤과 KT에서 대규모 해킹 사고가 연이어 발생했다. 주요 이동통신사에서 짧은기간 내 두 건의 대형 침해 사고가 잇따른 것은 전례 없는 일이다. 특히 KT에서는 소액결제 피해까지 현실화돼 충격을 더했다.

국가 인프라 보안에도 경고등이 켜졌다. 인공지능(AI)을 비롯한 국가 산업 전반이 통신망에 의존하는 현실을 고려할 때, 이번 사태는 더 이상 단순한 기업 보안 사고로 볼 수 없다는게 전문가들의 중론이다. 국가 핵심 인프라가 위협받는 위기 사태로 평가되는 만큼 통신사의 실질적인 보안 투자와 관리 강화가 시급한 과제로 지목된다.

◆ “폐쇄망”이라는 안일함 속 서버 내줬다

지난 4월22일 SK텔레콤에선 홈가입자서버(HSS·Home Subscriber Server) 내 음성인증장비가 해킹되는 사고가 발생했다. 유심(USIM) 관련 정보를 포함한 9.7기가바이트(GB) 분량에 2500만 고객의 데이터가 유출됐다.

불과 넉 달 뒤 KT에서도 사고가 터졌다. 가정이나 사무실에 설치해 실내 통신 품질을 높이는 소형 기지국 장비인 펨토셀(Femtocell)을 통해 2만명 규모의 가입자식별번호(IMSI)와 단말기식별번호(IMEI), 휴대번호 등의 개인정보가 빠져나간 것이다. 해커가 관리가 허술했던 펨토셀을 ‘가짜 기지국’(Fake Base Station)처럼 동작해 KT 코어망에 붙었을 것이라 추정된다.

업계는 두 사고 모두 통신사가 '폐쇄망이라고 안전하다'는 안일한 인식에 기댄 결과라고 지적한다. 실제로 사용된 공격 수법인 ‘웹셸’이나 ‘펨토셀 해킹’은 새롭거나 고도화된 방식이 아니라고 말해진다.

SK텔레콤의 경우 초기에는 BPF도어(BPF Door)가 관문이라고 알려졌으나, 실제로는 임시 서버의 취약성을 이용한 악성코드인 ‘웹셸’이 직접적 원인으로 드러났다. 즉, 관리되지 않은 임시 서버가 사고의 출발점이 된 셈이다.

보안업체 대표인 A씨는 “망을 뚫고 들어오기 굉장히 힘들다는 논리로 (통신사는) 보안 투자를 소홀히 해 왔다”라며 “이 때문에 많은 서버들이 사실상 보안체계에 편입되지 못한 상태로 운영돼 왔다”고 꼬집었다.



KT 역시 펨토셀 해킹와 소액결제 피해가 직접적으로 연관됐는지 확인되지 않았지만, 관리 사각지대에 있던 장비가 코어망에 연결가능했다는 사실만으로 보안 관리 책임을 피하기 어렵다는 지적이 제기된다.

통신장비 업계관계자 B씨는 “3GPP는 2G(2세대이동통신)에서 있었던 UE 메시지가 기지국 혹은 에어망(Airnetwork)에서 탈취되는 문제(IMSI catcher)에 대응하고자 가입자 정보(IMSI/IMEI/Ki) 등의 정보를 기지국에서는 볼 수 없게 NAS(Non-Access Stratum)라는 프로토콜로 암호화 해서 보내도록 하고 있다”라며 “이러한 NAS 메시지를 기지국에서 복호화 할 수 있었다는 것이 어떻게 가능한 건지, 규격 밖의 내용을 구현했다는 것인지 확인이 필요할 것 같다”라고 말했다.

◆ 암호화도 과제…3GPP 표준 따랐다는 변명

암호화 미비도 두 사고의 공통점이다. SK텔레콤은 서버 저장 구간에서, KT는 기지국과 코어망 연결 구간에서 각각 IMSI를 평문으로 저장해 두고 있었다. 두 회사 모두 국제 표준화 기구인 3GPP 규격을 따랐다는 입장이지만, 업계는 "표준 준수만으로는 충분하지 않다"고 비판한다.

통신업계 관계자 C씨는 “(3GPP의 경우 보안에 필요한) 일부 요소만을 나열하고 있어 그대로 따른다고 보안이 완성되는 것은 아니다”라며 “또, 레이턴시(지연)를 이유로 암호화를 미뤘다고 하지만 이는 장비 성능을 업그레이드하거나, 장비의 수량 확충으로 해결할 수 있는 문제”라고 꼬집었다.

또 다른 관계자 D씨는 “3GPP 규격에는 다양한 보안 선택지가 있고, 이는 규제기관과 사업자가 협의에 의해 선택·적용할 수 있다”라며 “보안을 강화하려면 네트워크 강화를 위한 추가 투자가 뒷받침돼야 한다”고 강조했다.

특히 KT의 사례와 관련해선 최신 보안 표준이 적용됐다면 펨토셀 부실 관리 문제와 별개로, IMSI 자체를 취득할 수 없었을 것이라는 주장도 제기된다.

B씨는 “IMSI라는 단어 자체가 LTE에서 가입자의 영구적인 식별자를 의미하는 것이고 5G에서 같은 것이 SUPI(Subscription Permanent Identifier)라고 한다”라며 “(5G에서) 이 정보는 LTE와 달리 평문(암호와 되지 않은)으로 전송되지 않고, 침해에 대비하여 SUCI(Subscription Concealed Identifier)라는 임시 번호를 사용해서 SUPI가 탈취되는 것을 막는다”고 말했다. 이어 “결국 (KT가) 제대로 된 5G 환경에서 서비스를 제공했다면 침해 가능성은 훨씬 낮았을 것”이라고 덧붙였다.

◆ “표준 준수 넘어 능동적 보안 체계로”…거버넌스 개편 선결과제

전문가들은 현재 국제 표준 준수에 머물러 있는 수준의 보안 체계를, 통신사 스스로가 국제 표준에 정의하지 않은 영역까지 사실표준을 마련해 적용해야 한다고 말한다.

염흥열 순천향대 교수는 “통신망이 폐쇄망이어서 안전하다는 논리와 여러 보안 투자를 회피하기 위한 다양한 이유는 보안 사고가 기업의 커다란 경영 리스크임을 고려해 더 이상 타당하지 않다”라며 “무엇보다도 중요한 것은 기업 스스로의 보안 위험 평가에 의한 상시적인 보안 대책을 강구하는 정보보호 관리체계의 구축과 운영이 매우 중요하다”고 말했다.

그러면서 “기업의 실무 보안 활동의 국제 표준의 수용은 통신사와 정부와 구성된 이동통신망 보안 협의회와의 사전 사고 예방 활동을 통해 달성될 수 있다고 본다”라며 “보안 협의회의 자율적인 보안 점검과 보고 등 보안 사고의 사전 예방 활동은 심각한 보안 사고를 미리 막는 유효한 수단이 될 수 있다”라고 제언했다.

업계 일각에선 통신사 내부의 거버넌스 개편도 병행돼야 할 것으로 봤다. 전통 네트워크 조직 중심 구조에선 네트워크 보안팀의 영향력이 커 별도로 운영되는 정보보호최고책임자(CISO) 조직이 목소리를 내기 힘든 구조라는 지적이다.

SK텔레콤이 최근 CISO 조직을 최고경영자(CEO) 조직으로 격상했지만 업계는 충분하지 않다고 보고 있다. 이번 사고로 CISO의 위상은 분명 달라지겠지만, 정부의 개인정보보호 관리체계(ISMS-P) 기준을 강화하는 등 제도적 뒷받침 없이는 혁신적 변화를 기대하기 어렵다는 것이다.

보안업체 대표 C씨는 “네트워크 부문장 입장에선 보안옵션을 추가하면 과부하가 걸리고, 다시 네트워크를 원활하게 돌아가게 하려면 서버를 늘려야하는데 이게 다 비용”이라며 “이에 CISO가 제로트러스트(Zero Trust)를 해야 한다고 아무리 말해도 윗선에선 ISMS-P 인증을 받았는데 그 이상으로 보안에 투자해야 할 이유가 없다”고 목소리를 높였다.

이어 “CISO 입장에선 정부 차원에서 제로트러스트를 기업이 장려할 수 있도록 (ISMS-P 인증의) 기준을 높여줘야 투자를 요구할 명분이 생기는 것”이라며 “혹은 투자를 장려할 수 있는 인센티브 제도 등을 마련하여 보안이 규제라는 단어와 묶이는 것이 아니라, 국가를 보호하기 위한 하나의 가이드라인처럼 인식될 필요가 있다”고 덧붙였다.

이에 대해 염 교수는 “CISO에 의해 평가된 보안 평가 보고서에서 제시되고 있는 기술적·관리적 보호대책에 대한 투자 계획을 이사회에서 심도깊게 논의해서 우선순위로 이를 해소할 수 있는 적정한 자원이 투입될 수 있도록 해야 한다”라며 “또한 주요 사이버 위협에 대응하기 위한 보안 인력의 확보, 보안 제품의 투자, 보안 정책의 개선 등이 기업 내에서 확실히 반영될 수 있도록 하는 보안 거버넌스 구축이 필요하다. 정부도 이를 지원하기 위한 세제 혜택, 과징금 감면 등의 다양한 인센티브 제도의 활성화를 고려해야 한다”고 제언했다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -