‘가짜 기지국’ 中서 거래되는데… “韓 대응은 10년 전 수준”

KT 소액 결제 해킹에 악용된 가짜 소형 기지국(펨토셀)이 중국 웹사이트에서 버젓이 거래되고 이미 우리나라에도 판매됐던 것으로 확인됐다. 펨토셀은 이동통신사가 전파가 약한 지역의 통신 품질을 개선하기 위해 설치하는 장비다. KT 해킹 사건은 개인이 이를 임의로 설치하고 휴대전화 주파수를 훔쳐 단말기 정보를 가로채는 방식으로 벌어졌다. 지금까지 KT 가입자 2만 명의 개인정보가 유출됐고 2억 원이 넘는 소액 결제 피해가 발생했다.

동아일보 취재팀이 펨토셀 판매자에게 직접 연락을 해봤더니 “대당 1만 달러이고 7∼10일 안에 배달이 된다”고 답했다. 판매자와 연락은 텔레그램, 결제는 가상화폐로 이뤄진다. 국내 세관 통관과 관련해선 “단속을 피할 수 있는 루트가 있다. 10년 동안 아무런 문제 없이 판매했다”고 했다. 누구나 마음만 먹으면 통신망을 교란시켜 개인정보를 쉽게 탈취할 수 있다는 사실이 경악스럽다.

중국 공안은 펨토셀 해킹이 사회 문제로 떠오르자 2013년 펨토셀 해킹으로 ‘피싱’ 문자를 발송한 범죄 조직 72곳을 적발했다. 이들 범죄 조직이 해외로 활동 범위를 넓히면서 베트남, 일본, 태국 등에서도 같은 방식으로 피해가 발생했다. 이제 한국까지 마수를 뻗쳐 KT 소액 결제 사건이 발생했다. 시차를 두고 발생해 충분히 예방할 수 있는 사고였지만 그 대응은안이했다. 전문가들은 “해킹 기술이 고도화되는데 정부, 기업의 해킹 대응 역량과 투자는 10년 전 수준”이라고 지적한다.

올해 정부 사이버 보안 연구개발(R&D) 예산은 2120억 원으로 숫자만 보면 지난해보다 11.4% 증가했다. 하지만 AI 해킹 대응에 투자가 쏠려 나타난 착시 현상일 뿐, 전통적인 사이버 보안 연구비는 오히려 줄고 있다. 개인정보 유통 시장인 다크웹 분석 및 추적 연구, KT 해킹에 이용된 펨토셀 해킹 대응, 개인정보 암호화 등 전통 사이버 보안 기술을 연구하던 교수팀들은 예산이 삭감돼 연구가 중단될 위기라고 한다. 이런 보안 의식과 역량으로는 날마다 새로운 기술로 무장하는 해킹에 대응하기 어렵다. SK텔레콤, 롯데카드, KT 등 대형 사고가 줄줄이 터지면서 전 국민 개인정보가 모두 털리다시피 했는데 언제까지 뒷북 대응만 할 건가.