KT 소액결제 피해 사태가 확산되는 가운데, 이미 13년 전 펨토셀의 보안 취약성에 대한 경고가 있었던 것으로 드러났다. 당시 연구 결과가 제도적·기술적 대책으로 이어지지 못하면서, 결국 이번 해킹 참사로 되돌아왔다는 비판이 제기된다.

국회 과학기술정보방송통신위원회 소속 국민의힘 이상휘 의원(포항 남·울릉)은 22일 한국인터넷진흥원(KISA)으로부터 제출받은 자료를 공개했다. 이에 따르면 KISA는 지난 2012년 약 4천만 원의 연구개발비를 투입해 '펨토셀 및 GRX 보안 취약점에 대한 연구'를 수행한 것으로 확인됐다.

2013년 미국 보안 기업 iSEC 파트너스 연구원들이 펨토셀 해킹 위험을 경고했고, 2016년 한국정보처리학회에서도 관련 논문이 발표됐다. 그러나 그보다 앞서 KISA가 위탁한 연구보고서에서 이미 주요 취약점이 지적됐던 것이다.

2012년 KISA의 위탁과제 제안요청서에는 연구 목표로 △펨토셀 보안 취약점 및 위협 연구 △GRX 보안 취약점 및 위협 연구가 명시됐다. 당시 SKT가 펨토셀 상용화에 착수했고, KT도 초고속 인터넷과 결합한 펨토셀 도입을 검토 중이었다.

연구보고서는 펨토셀 보안 위협을 총 29가지로 제시했으며, 이번 KT 소액결제 피해의 원인으로 지목되는 △사용자 인증토큰 복제 △MITM(Man-In-The-Middle·중간자 공격) 가능성도 포함돼 있었다.

그러나 연구 성과가 보안 업데이트나 제도 개선으로 이어졌는지 확인하려 했으나, KISA는 문서 보존기간 경과를 이유로 자료를 제출하지 않았다. 별도의 후속 조치가 없었던 것으로 보이는 점을 감안하면 사실상 당시 우려가 방치된 셈이다.

이상휘 의원은 "KISA가 13년 전 경고를 흘려들은 결과, 소액결제 해킹 참사의 나비효과로 돌아왔다"며 "해킹 대비 연구만 있었고, 대책은 전혀 마련하지 않았다"고 강하게 비판했다.

이어 "국민의 안전을 지켜야 할 KISA가 보안 위협을 '소 귀에 경 읽기'로 흘려듣고 책임을 외면한 것은 명백한 직무유기"라며 "KISA는 형식적인 연구용역이나 보고서 작성에 그치지 말고, 반드시 제도적·실질적 대책으로 이어질 수 있도록 개선책을 마련해야 한다"고 촉구했다.

[스트레이트뉴스 설인호 기자]