KT 해킹 사건을 두고 해외 보안 전문가들과 전문 매체들의 우려가 잇따르고 있다. “보안 영역의 무능과 태만이 가장 극단적으로 드러난 사례”라는 혹평과 함께, KT 인프라에 의존하는 기업들에 대한 경고도 이어지고 있다.

통신업계에 따르면 지난달 29일 KT 해킹 사건에 대한 당국의 최종 조사 결과가 발표된 이후, 글로벌 보안·통신 전문가들의 비판이 본격화되고 있다. 

포브스가 2020년 선정한 ‘세계 50대 여성 미래학자’ 중 한 명인 샤라 에반스(Shara Evans) 호주 통신 기술 분석 기업 ‘마켓 클래리티(Market Clarity)’ CEO는 지난달 30일 링크드인을 통해 “KT 해킹은 내가 접한 사례 중 보안 분야의 무능과 태만이 가장 심각하게 드러난 최악의 사례 중 하나”라고 평가했다.

에반스 CEO는 “기본적인 IT 정보보안 원칙이 수년간 조직적으로 무시됐고, 그 사실이 오랫동안 전혀 발견되지 않았다는 점을 보여주는 사례가 반복된다”며 “솔직히 말해 현재까지 확인된 정보 유출 규모가 정부 조사 결과에서 밝힌 수준에 그친다는 점이 오히려 놀랍다”고 했다.

그는 영국 IT 전문 매체 ‘더 레지스터(The Register)’에 실린 KT 해킹 관련 기사를 공유하며 이 같은 의견을 남겼다. 

해당 기사를 작성한 사이먼 샤우드(Simon Sharwood) 기자 역시 “KT 해킹은 지금까지 본 보안 영역의 무능과 태만 사례 중에서도 가장 이례적이고 충격적인 사건”이라고 밝혔다.

미국 사이버 보안 전문 매체 ‘CISO 위스퍼러(Whisperer)’도 지난 5일 ‘KT 펨토셀 보안 취약점 노출’이라는 제목의 기사에서 KT 펨토셀 관리 부실 사태를 집중 조명하며 전 세계 기업 정보보호최고책임자(CISO)들에게 경고를 보냈다. 

이 매체는 “한국 정부가 KT가 설치한 수천 개의 펨토셀에 적절한 인증과 암호화 제어 기능이 부족하다는 사실을 확인하면서 심각한 보안 취약점이 드러났다”고 전했다.

이어 “무선 통신에 대한 무단 접근과 도청, 결제 사기 가능성이 제기됐고, 규제 당국은 보안이 취약한 펨토셀들이 개인정보는 물론 국가 통신망에도 심각한 위험을 초래한다고 결론지었다”고 덧붙였다. 

이로 인해 KT 가입자들이 직접적인 영향을 받았을 뿐 아니라, 한국 무선 통신 네트워크에 의존하는 다수 기업들이 잠재적 위험에 노출됐다는 지적도 나왔다.

특히 CISO 위스퍼러는 각 기업의 CISO들이 이번 KT 펨토셀 사태를 심각하게 받아들여야 한다고 강조했다. 매체는 “안전하지 않은 통신사 인프라는 모바일 보안 환경 전반을 훼손할 수 있다”며 “VPN(가상사설망), 다중 인증(MFA), 원격 접속을 위해 셀룰러 연결에 의존하는 조직들은 기존의 신뢰 경계를 재평가해야 한다”고 경고했다.

이달 2일에는 새로운 해킹 기법을 분석·공개하는 플랫폼 ‘언더코드 테스팅(Undercode Testing)’에 ‘거실의 조용한 위협, 손상된 펨토셀이 어떻게 사기 도구로 무기화됐는가’라는 분석 글이 실리며, KT 펨토셀 보안 취약점이 범죄에 악용될 가능성도 구체적으로 제기됐다.

KT 해킹 사건은 펨토셀이라는 특수한 통신 장비가 연관돼 기존 이동통신사 해킹 사례와는 성격이 다르다는 점에서 해외 언론과 보안 학계의 주목을 받고 있다. 

지난해 12월 10일 영국 통신 전문 연구기관 리싱크 테크놀로지 리서치는 ‘KT의 사이버 공격, 당신이 생각한 것보다 더 심각하다’는 제목의 보고서를 발표했다.

이어 지난해 12월 말 독일 함부르크에서 열린 세계적 보안 콘퍼런스 ‘카오스 커뮤니케이션 콩그레스(C3)’에서는 KT 펨토셀이 불과 30분 만에 다시 해킹되는 침투 테스트 결과가 공개되며 논란이 확산됐다. KT 해킹 사태를 둘러싼 해외의 문제 제기가 앞으로도 이어질 가능성이 크다는 관측이 나온다.