국회 국가미래전략기술포럼이 13일 오전 국회의원회관에서 '위기의 K보안 글로벌 해커 타깃 한국'을 주제로 개최한 토론회에서 참석자들이 기념촬영을 하고 있다.

<이미지를 클릭하시면 크게 보실 수 있습니다>

KT 해킹사고가 단순 소액결제 사건이 아닌 대국민 도청 사건이라는 주장이 제기됐다. 중국에서 펨토셀 장비를 가져오면 언제 어디서든 KT망과 붙을 수 있는 데다 국제기구의 표준을 따르더라도 통화 도청은 여전히 가능한 상태기 때문이다.

최형두 국민의힘 의원과 김한규 더불어민주당 의원이 국회 국가미래전략기술포럼과 함께 13일 오전 국회의원회관에서 '위기의 K보안 글로벌 해커 타깃 한국'을 주제로 토론회를 개최했다.

이날 발제자로 나선 김용대 카이스트 전기 및 전자공학부 교수는 KT해킹사건이 펨토셀을 악용한 소액결제로 인해 세상에 드러났을 뿐 실제는 '국가기간통신망 도청 사건'이라고 정의했다. 중국 정부 혹은 범죄 조직이 한국을 상대로 벌인 도청사건으로, 일부가 일탈해 돈을 벌어보겠다며 불법 소액결제를 벌이다가 세상에 드러났다는 게 김 교수의 주장이다. 김 교수는 2014년 펨토셀을 해킹해 휴대전화를 도청하거나 문자메시지를 가로챌 수 있는 등 보안 위협을 제기한 바 있다.

김 교수는 “에그(와이파이 기기) 랜선을 펨토셀과 연결해 배터리와 함께 휴대하면 '들고 다니는 도청장치'를 만들 수 있는 사실을 10여년 전에 제보했다”며 “국제표준화기구(3GPP) 및 한국정보통신기술협회(TTA) 표준권고을 준용하더라도 통화는 암호화가 안 된다”고 말했다.

그러면서 “KT는 19만대 펨토셀을 하나의 인증서로 관리했다”며 “몇 대의 펨토셀이 있는지 알 길이 없고 중국에서 장비(펨토셀)를 가져와 인증서만 입력하면 KT망에 붙을 수 있었다”고 덧붙였다.

김 교수는 사이버 보안 강화를 위해 제도 개선이 필요하다고 강조했다.

'정보통신망 이용촉진 및 정보보호 등에 관한 법률'(정보통신망법)에 가로막혀 정부와 보안 전문가들이 취약점 스캐닝을 할 수 없고, 한국인터넷진흥원(KISA) 버그바운티 제도 역시 개발사 동의 없이 제품 취약점을 공개할 수 없다. 해커는 취약점을 노리고 공격을 퍼붓는데 정부조차 속수무책인 셈이다.

협력사 등 공급망 보안 관리가 필요하다는 의견도 나왔다. 대기업이 자사 보안을 아무리 강화해도 협력업체를 통해 정보 유출 등 피해가 발생할 수 있어서다. 일례로, 애플 협력사인 대만의 콴타(Quanta)가 해킹을 당해 애플 신제품 세부 설계가 유출되는 사고가 발생하기도 했다.

김재기 S2W 위협 인텔리전스 센터장은 “전 세계 시가총액 1위였던 애플도 직접 공격이 아닌 협력사로 인해 위협에 노출됐다”며 “수탁사에 대한 지속적인 보안 감사와 점검은 문론 직원 대상 교육·훈련이 필요하다”고 말했다.

한편, KT 일부 스마트폰에서 문자 메시지(SMS) 암호화가 해제된다는 사실이 드러났다. 국가정보원은 제보를 받아 이 같은 사실을 확인해 지난 9월 KT에 공식 통보했으며, KT 해킹 조사단은 KT 전체 가입자 망에 대해서도 관련 내용을 조사 중이다.

조재학 기자 2jh@etnews.com

[Copyright © 전자신문. 무단전재-재배포금지]