조국혁신당 이해민 의원(국회 과학기술정보방송통신위원회)은 21일, KT가 펨토셀 장비 인증·개통 절차를 허술하게 운영한 탓에, KT 장비가 아닌 해외 제조 불법장비까지 자사망에 접속하도록 방치했다”며 강하게 비판했다.

KT는 당초 의원실에 “펨토셀은 과거 KT 기지국에 한 번이라도 접속되어 인증받은 장비여야만 재접속이 가능하다”고 설명했으나, 입수된 불법 펨토셀 장비는 KT와 무관한 해외 제조 제품으로 확인됐다. 

이는 곧 KT 장비가 아니더라도 KT 기지국에 접속이 가능했다는 의미로, 단순히 펨토셀 장비 관리뿐 아니라 통신망 관리 체계 전반이 부실하게 운영되어 왔다는 것이 이 의원의 지적이다.

이해민 의원이 각 통신사로부터 제출받은 자료에 따르면, 통신3사는 모두 펨토셀 설치·개통 시 1단계로 ‘인증서버 인증’을 거쳐 자사 장비 여부를 확인하고, 이후 IPsec 통신용 인증서를 발급받는다. 이때 LGU+와 SKT는 각각 장비별로 부여된 제조사 인증서, USIM키 정보 등을 통해 개별 장비 단위로 인증 절차를 진행한다.

반면, KT는 제조사가 부여하는 ‘벤더키(Vendor Key)’ 값만 일치하면 IPsec 통신을 위한 인증서가 발급되는 구조다. 벤더키는 제조사가 KT용 장비를 구분하기 위해 부여하는 값으로 KT의 경우 모든 펨토셀 장비에 동일한 값이 적용되어 있다. 따라서 불법 장비라도 KT용 벤더키를 입수했다면 인증이 가능한 상황이다.

이해민 의원은 “KT와 LGU+ 모두 같은 제조사인 이노와이어리스의 펨토셀 장비를 사용했지만, LGU+는 장비별로 부여되는 제조사 인증서와 일련번호 등 추가 검증을 거치는 반면, KT는 벤더키 하나만 확인하고 인증을 부여했다”며, “가장 기본적인 인증 절차를 강화하지 않았기 때문에 같은 제조사 장비를 사용하고도 KT에서만 불법 접속이 가능했던 것”이라고 지적했다.

또한 이 의원은 “KT는 과거 펨토셀을 고객이 직접 설치할 수 있도록 하면서 장비 포장상자 외부에 일련번호가 그대로 노출되는 등 보안상 허점이 반복적으로 지적돼 왔으며, 이번 사태에서는 개별 펨토셀 ID DB조차 제대로 관리되지 않은 사실이 드러난 만큼, 추가 인증과정에서의 우회방식에 대해서도 철저한 조사가 필요하다”고 밝혔다.

이어 “KT는 결제피해 발생 이후 인증서 갱신 주기를 단축하고 미사용 장비를 차단하는 등 후속 조치에 나섰지만, 아무리 창문을 꽁꽁 닫아도 대문을 활짝 열어놓으면 무슨 소용이 있겠느냐”며, “사후 땜질식 대응이 아니라 근본적인 인증체계 전면 개선에 즉각 착수해야 한다”고 강조했다.

실제로 이번 사건에서도 KT는 불법 펨토셀 20여 대가 기지국에 접속해 감청 및 결제 피해를 일으킨 뒤에야 뒤늦게 불법 ID를 확인한 것으로 드러났다.

이해민 의원은 “KT는 타사보다 5배 가까이 많은 펨토셀을 운영하고 있으면서도 가장 기본적인 인증·개통 절차조차 제대로 관리하지 못했다”며, “이번 사태는 명백한 KT의 귀책 사유로, 피해 이용자에 대한 위약금 면제, 단말기 교체 등 실질적인 보상 대책을 즉각 마련해야 한다”고 강조했다.