[사설]‘가짜 기지국’ 中서 버젓이 거래… “韓 대응은 10년 전 수준”

중국 온라인 판매 사이트에 게시된 펨토셀(소형 기지국) 장비. 인터넷 화면 캡처

KT 소액 결제 해킹에 악용된 가짜 소형 기지국(펨토셀)이 중국 웹사이트에서 버젓이 거래되고, 이미 우리나라에도 판매됐던 것으로 확인됐다. 펨토셀은 이동통신사가 전파가 약한 지역의 통신 품질을 개선하기 위해 설치하는 장비다. 하지만 범죄 의사를 가진 개인이나 그룹이 이 장비를 손에 넣을 수 있으면 휴대전화 단말기 정보를 가로채 범죄를 벌이는 일이 가능해진다.

동아일보 취재팀이 펨토셀을 한국에서 구매할 수 있는지를 확인하기 위해 중국 판매자에게 직접 연락해 봤더니 “대당 1만 달러이고 7∼10일 안에 배달된다”는 답이 돌아왔다고 한다. 이들은 국내 세관 통관과 관련해선 “단속을 피할 수 있는 루트가 있다. 10년 동안 아무런 문제 없이 판매했다”고 호언했다. 펨토셀 해킹은 말단 통신망을 교란시켜 해킹 사실을 알아채기도 어렵고, 장비를 들고 다니며 반복적으로 해킹이 가능하다. 서버가 해킹당한 SK텔레콤, 롯데카드 사건에 비해 피해 규모는 작지만 고난도 해킹 기술 없이도 단시간에 개인정보를 대량으로 훔칠 수 있어 그보다 덜 위험하다고 할 수 없다. 그런데 이처럼 누구나 마음만 먹으면 펨토셀을 쉽게 구입할 수 있는 이상, 2만 명의 피해자를 낳은 KT 소액 결제 해킹과 같은 사건이 더 큰 규모로 얼마든지 벌어질 수 있다는 우려가 나온다.

중국 공안은 펨토셀 해킹이 사회문제로 떠오르자 2013년 펨토셀 해킹으로 ‘피싱’ 문자를 발송한 범죄 조직 72곳을 적발했다. 이들 범죄 조직이 해외로 활동 범위를 넓히면서 베트남, 일본, 태국 등에서도 같은 방식으로 피해가 발생했다. 이제 한국에서도 KT 소액 결제 사건이 발생했다. 시차를 두고 발생해 충분히 예방할 수 있는 사고였다. 전문가들은 “해킹 기술이 고도화되는데 정부, 기업의 해킹 대응 역량과 투자는 10년 전 수준”이라고 지적한다.

올해 정부 사이버 보안 연구개발(R&D) 예산(2120억 원)은 숫자만 보면 지난해보다 11.4% 증가했다. 하지만 인공지능(AI) 해킹 대응에 투자가 쏠려 나타난 착시 현상일 뿐 다크웹 추적, 펨토셀 대응 등 전통적인 사이버 보안 연구비는 오히려 줄었다. 이런 보안 의식과 역량으로는 교묘해지는 해킹에 대응하기 어렵다. SK텔레콤, 롯데카드, KT 등 대형 사고가 줄줄이 터지면서 전 국민의 개인정보가 모두 털리다시피 했다. 뒷북 대응만 하고 있어선 안 된다.