▲ 이상휘 의원(포항 남·울릉)

- 2012년 KISA ‘펨토셀 및 GRX 보안 취약점에 대한 연구’ 수행

- 이상휘 의원, “13년 전 경고 무시해 소액결제 해킹 참사의 나비효과로 돌아온 것”

KT 소액결제 피해로 국민들의 불안이 가중되고 있는 가운데, 이미 13년 전에 펨토셀의 보안 취약성에 대한 경고가 있었던 것으로 드러났다.

국회 과학기술정보방송통신위원회 소속 국민의힘 이상휘 의원(포항 남·울릉)이 한국인터넷진흥원(KISA)으로부터 제출받은 자료에 따르면, 지난 2012년 4천만원의 연구개발비를 투입해 ‘펨토셀 및 GRX 보안 취약점에 대한 연구’를 수행한 사실이 확인됐다.

2013년 미국 보안 기업 iSEC 파트너스의 연구원들이 펨토셀의 해킹을 경고했고 2016년 한국정보처리학회에서 발표된 논문 ‘위협 모델링 기법을 이용한 펨토셀 취약점 분석에 대한 연구’ 발표보다 먼저 KISA가 위탁한 연구보고서에서 관련 취약점이 지적됐던 것이다.

2012년 KISA가 공고한 위탁과제 제안요청서에는 연구목표를 ‘펨토셀 보안 취약점 및 위협 연구’와 ‘GRX 보안 취약점 및 위협 연구’로 명시했다. 당시 SKT가 2012년 펨토셀 상용화에 착수했으며, KT는 초고속 인터넷과 결합한 펨토셀 도입을 검토하고 있었다.

연구보고서에서는 펨토셀 보안 위협을 총 29가지를 제시하고 있다. 이 가운데 이번 KT 소액결제 피해의 원인으로 지목되는 ▲사용자의 인증토큰 복제 ▲통신을 주고받는 두 주체 사이에 공격자가 몰래 개입하여 정보를 가로채거나 조작하는 MITM(Man-In-The-Middle) 공격 가능성도 포함되어 있었다.

실제 연구 성과가 보안 업데이트로 이어졌는지 성과관리와 사후활용방안을 확인하려 했으나 KISA는 문서 보존기간 경과를 이유로 자료를 제출하지 않았고, 당시 별도의 조치가 없었던 것으로 보이는 점을 감안하면 사실상 KISA가 펨토셀 해킹에 대한 우려를 묵인한 셈이다.

이상휘 의원은 “KISA가 13년 전 경고를 흘려들은 결과, 소액결제 해킹 참사의 나비효과로 돌아왔다”며, “해킹 대비 연구만 있었고, 대책은 전혀 마련하지 않았다” 고 강하게 비판했다.

이어 이 의원은 “국민의 안전을 지켜야 할 KISA가 보안 위협을 ‘소 귀에 경 읽기’ 로 흘려듣고 책임을 외면한 것은 명백한 직무유기”라며, “KISA는 형식적인 연구용역이나 보고서 작성에 그치지 말고, 반드시 제도적·실질적 대책으로 이어질 수 있도록 개선책을 마련해야 한다”고 촉구했다.