KT 불법 기지국 해킹에 2만 명 노출…경실련 “국가 기간망 신뢰 훼손”
▷경실련 “KT·정부, 피해 알고도 3개월간 방치“…명백한 직무유기 비판
▷구형장비·단일인증·FDS 미작동…통신 인프라 보안 부실
▷과기정통부 긴급회의·인터넷진흥원 점검 예고…“재발 방지 체계 마련”
지난 15일 KT광화문빌딩 앞에서 이동통신사 해킹 사태 해결 촉구 기자회견이 열렸다 (사진=연합뉴스)
[위즈경제] 이수아 기자 =경제정의실천시민연합(이하 경실련)은 KT 불법 이동기지국(펨토셀) 해킹 사태와 관련해 철저한 진상조사와 강력한 제재를 촉구했다.
경실련은 22일 성명을 통해 “KT 불법 이동기지국 해킹 사태는 단순한 보안사고가 아니라, 국가 기간망 신뢰를 훼손한 중대한 사건”이라며 “불법 이동기지국을 통해 약 2만 명이 해킹 신호 영향권에 노출됐고, 이 중 300여 명은 약2억4천만원 규모의 무단 소액결제 피해를 입었다”고 밝혔다.
특히 KT는 6월경부터 피해 정황을 인지하고도, 3개월이 지난 9월 18일에서야 한국인터넷진흥원에 신고한 점을 지적했다. 경실련은 “정부와 KT의 사고 지연과 은폐는 피해 확산을 방치한 중대한 관리 실패”라고 비판했다.
이번 해킹 사태는 불법 펨토셀을 설치한 해커가 주변 단일 신호를 가로채는 방식으로 이뤄졌다. 이용자의 휴대전화가 정상 기지국 대신 불법 펨토셀에 접속하면 단말 식별자(IMSI·IMEI)와 전화번호 등 개인정보가 유출된다. 해커는 이 정보를 이용해 본인인증절차(SMS·ARS)를 위조해 소액결제를 시도한 것으로 파악됐다.
경실련은 KT 내부에 소액결제 이상거래탐지시스템(FDS)이 없나 제대로 작동하지 않아 해커의 접속을 차단하지 못했고, 이로 인해 실제 소액결제 피해로 이어졌다고 분석했다.
불법 펨토셀은 단말과 망 사이에서 암호화가 해제되는 구조적 특성을 지니고 있다. 경실련은 “구형(IPsec 미지원) 장비를 장기간 운용하고, 자가 펨토셀 설치를 허용해 원격 관리와 인증 통제를 소홀히 했던 결과 해킹에 악용될 수 있는 취약점이 방치됐다”며 “이는 단순 관리 부실만이 아니라 예견 가능한 구조적 위험을 외면한 것”이라고 강조했다.
또한 SMS·ARS 방식의 단일인증만으로 소액결제가 가능해 가입 식별자 탈취만으로도 무단 소액결제가 이뤄졌다는 점을 비판했다. 금융권에서 이미 금지된 단일인증 방식을 통신사가 고수한 것은 문제라며, 즉시 다중인증체계(FIDO2 기반 앱 푸시·스마트폰 생체인증·결제 비밀번호 등)로 전환했어야 한다고 지적했다.
경실련은 이번 사태의 재발 방지를 위해 통신장비와 보안체계를 전반적으로 강화하고, 소액결제 피해 방지 대책과 이용자 권익 구제 방안을 마련할 것을 요구했다.
구체적으로 ▲불법 펨토셀 및 불법폰 전수조사·폐기 ▲IPsec 미지원 구형장비 전량 퇴역 및 펌웨어 서명·자동 업데이트 의무화 ▲제로트러스트 방침에 따른 상시 위협 모니터링 구축을 촉구했다.
또한 ▲사고 발생 시 즉시 신고 및 72시간 내 공시 의무화 ▲감독 기관의 신속 대응과 정례 감사제도 확립 ▲독립된 보안감사기구 설립으로 연례 점검 및 점검 결과 공개를 요구했다.
소액결제 구조 개선을 위해서는 ▲단일인증 전면 금지 ▲AI 기반 FDS 및 위협정보 실시간 공유체계 마련이 필요하다고 강조했다. 아울러 법 위반 시 매출 연동 과징금, 조건부 영업정지, 경영진 처벌 제도화해야 한다고 덧붙였다.
KT 해킹 사태와 관련해 과학기술정보통신부(이하 과기정통부)는 23일 국내 주요기업 정보보호최고책임자(CISO)들과 함께 긴급 보안점검회의를 개최했다.
이번 회의는 최근 통신·금융 분야에서 잇따라 발생한 해킹사고로 국민 불안이 커지는 가운데, 기업들의 보안 대응 실태를 점검하고 정보보호 역량 강화를 위한 방안을 논의하기 위해 마련됐다. 이는 전날 김민석 국무총리가 “국가 전체적인 보안 취약점 점검과 피해 확산 차단이 시급하다”라고 강조한 데 따른 후속조치다.
회의를 주재한 류제명 과기정통부 제2차관은 “최근 사이버 위기는 매우 엄중한 상황”이라며 “각 기업이 자사의 주요 정보자산을 명확히 파악하고 이에 대한 취약점 분석 등 자체 보안 점검을 철저하게 실시해 과기정통부에 회신할 것”을 요구했다.
아울러 “국민이 안심할 수 있는 디지털 환경을 만들기 위해 기업 일선에 있는 3만여 CISO 여러분이 책임감을 가지고 기업의 정보보호 강화에 힘써 달라”고 당부했다.
한국인터넷진흥원 측은 이번 KT 불법 이동기지국 해킹 사태를 두고 유사한 해킹 사태 재발을 막기 위한 대응 체계를 마련하겠다고 밝혔다. 이들은 “기업의 보안 강화와 신뢰성 확보를 위해 정보보호 관련 제도 및 정보보호서비스에 대해 전반적으로 미흡한 부분이 없는지 면밀히 살펴보겠다”며 “기업에 실질적인 도움이 될 수 있도록 다양한 노력을 추진할 계획”이라고 전했다.
댓글 1개
관련 기사
Best 댓글
어디에 사느냐가 아니라 어떻게 사는냐가 토론의 장이되야한다는 말씀 공감하며 중증발달장애인의 또다른 자립주택의 허상을 깨닫고 안전한 거주시설에서 자립적인 생활을 추구하여 인간다운 존엄을 유지할수있도록 거주시설어 선진화에 힘을 쏟을때라 생각합니다 충분한 돌봄이 가능하도록 돌봄인력충원과 시설선진화에 국가에서는 충분한 제도적 뒷받침을 해야합니다
2시설이 자립생활을 위한 기반이 되야합니다. 이를위해 전문인력이 배치되고, 장애인의 특성과 욕구를 반영한 프로그램이 운영되며, 지역사회와 연계된 지원체계가 마련되어야 합니다. 장애인이 보호받으면서 행복한 삶을 살아가는 공간으로 거주시설을 개선하고 지원 되이야 가족도 지역사회에서도 안심할 수 있게 정책개발 및 지원 해야 한다는 김미애의원의 말씀에 감동받고 꼭 그렇게 되길 간절히 바래 봅니다.
3중증발달장애인의 주거선택권을 보장하고 그들에게 필요한 지원을 바랍니다. 탈시설을 주장하시는 의원님들 시설이란 인권을 빼앗는 곳이라는 선입관과 잘못된 이해를 부추기지 마세요. 중중발달장애인을 위해 노화된 시설을 개선해 주세요. 또, 그들의 삶의 보금자리를 폐쇄한다는 등 위협을 하지 마시기를 간곡히 부탁드립니다.
4지역이 멀리 있어서 유트브로 시청했는데 시설장애인 부모로 장애인들이 시설이든 지역이든 가정이든 온전히 사회인으로 살수 있게 해줬으면 좋겠단 생각이 들었습니다
5탈시설 개념에 대해 페터 슈미트 카리타스 빈 총괄본부장은 유엔장애인권리협약에 게재된 탈시설화는 무조건적인 시설 폐쇄를 의미하지 않으며 장애인 인권 향상을 위한 주거 선택의 다양성을 강조하는 것이라고 설명하고 있으며, 미국의 경우 발달장애인의 거주 서비스는 의료적 도움이 필요한 경우, 도전적 행동이 있는 경우, 자립 지원이 필요한 경우 등 여러 거주 서비스 필요성에 의해 장기요양형 거주 시설부터 지역사회 내 자립홈까지 운영하고 있다. 이번 토론회를 통해 거주시설에서의 자립생활 목소리가 정책으로 연결되길 기대합니다.
6장애인도 자기 삶을 결정하고 선택 할 귄리가 있습니다. 누가 그들의 삶을 대신 결정합니까? 시설에서 사느냐 지역사회에서 사느냐가 중요 한게 아니고 살고 싶은데서 필요한 지원을 받으며 살아야합니다. 개인의 선택과 의사가 존중되어야 합니다.
7최중증 발달장애인의 거주시설에서의 생활은 원가정을 떠나 공동체로의 자립을 한 것입니다. 거주시설은 지역사회에서 벗어나 있지 않습니다. 시설안과 밖에서 너무도 다양하게 활동합니다. 원가정이나 관리감독이 어려운 좁은 임대주택에서의 삶과 다른 모두가 함께 만들어가는 공동체야 말로 장애인의 삶의 질을 높이고 사회성이 향상되는 곳입니다. 그리고 가장 안전한 곳 입니다. 최중증발달장애인들이 아파트나 빌라에서 살아가기란 주변의 민원과 벌래 보듯한 따가운 시선 그리고 돌발행동으로 위험한 상황이 많이 일어나고 그때마다 늙고 힘없는 부모나 활동지원사는 대처할수 있는 여건이 안되고 심지어 경찰에 부탁을 해 봐도 뾰족한 수가 없는 것이 현실 입니다. 그러나 거주시설은 가장 전문성이 있는 종사자들의 사명과 사랑이 최중증발달장애인들을 웃게 만들고 비장애인들의 눈치를 안봐도 되고 외부활동도 단체가 움직이니 그만큼 보호 받을수 있습니다 . 예로 활동지원사가 최중증발달장애인을 하루 돌보고는 줄행랑을 쳤습
