하지만 KT가 직면한 과제는 단순한 이미지 개선을 넘어섭니다. 보안 리스크는 현재진행형이며, 특히 펨토셀(소형 기지국) 취약성 논란은 통신 인프라의 근본적 안정성을 묻고 있습니다.
보안업계에서는 최근 의미 있는 문제 제기가 있었습니다. 티오리 박세준 대표는 지난 4일 국내 통신사 펨토셀 장비에서 원격 코드 실행(RCE)과 로컬 권한 상승(LPE) 취약점을 발견했다며 이는 지금까지 공개된 취약점이 아니라고 밝혔습니다. 공격자가 장비를 장악해 이용자 통신을 감청하거나 데이터를 조작할 수 있으며, 감염된 장비를 활용한 분산서비스공격(DDoS) 가능성도 거론됐습니다.
그러나 KT는 즉각 반박했습니다. KT 관계자는 “RCE 취약점은 외부 접근 자체를 차단했고, LPE 취약점은 루트 권한 탈취 시도 시 부팅 차단 등 방어 기능을 적용했다”고 설명했습니다. 또한 박세준 대표가 인지한 취약점은 작년 연말 기준으로, 현재는 이미 기술적 보완이 완료됐다고 언급했습니다. KT는 지난해 펨토셀 보안 이슈 이후 외부 전문가와 협력하며 보안 기능을 강화해다고 밝혔습니다.
박 대표가 국가정보원(국가사이버안보센터)에 제보한 만큼, KT가 진행한 조치가 완료돼 보안 걱정이 없는지 조만간 확인될 전망입니다.
이런 가운데, 박윤영 대표는 지난 3월 31일 취임과 동시에 ‘단단한 본질’을 강조하며 KT를 AI 전환(AX) 플랫폼 기업으로 탈바꿈시키겠다는 비전을 제시했습니다. 실제 조직 개편을 보면 미디어 조직 축소·보안 조직 확대가 눈에 띕니다. 정보보안 기능과 네트워크 산하 보안운용 기능이 분산돼 있던 구조를, 정보보안실을 중심으로 통합하고 최고정보보호책임자(CISO) 중심 거버넌스를 구축했습니다. 여기에 보안 강화를 위해 금융결제원 출신 이상운 전무(정보보안실장)를 영입하기도 했습니다.
그럼에도 펨토셀과 같은 엣지 네트워크 장비는 광범위하게 분산돼 있고 관리 사각지대에 놓이기 쉽습니다. AI와 데이터센터 중심 인프라가 확대될수록 이러한 ‘말단 장비’의 취약성은 전체 시스템 리스크로 증폭됩니다. 가장 약한 고리가 전체를 무너뜨릴 수 있는 구조입니다.
통신사가 AI 서비스를 직접 만들기도 하지만, 무엇보다 기반을 제공하는 역할에 충실해야 합니다. 그 기반은 안전성 위에 서야 하며, 전력과 광케이블이 AI 시대 인프라라면, 보안은 이를 지탱하는 필수 조건입니다. KT의 신뢰 회복은 얼마나 빠르게 새로운 사업을 확장하느냐가 아니라, 기존 네트워크를 AI시대 새로운 보안 위협으로부터 얼마나 견고하게 지켜내느냐에 달려 있다고 해도 과언이 아닙니다.
박 대표의 현장 방문과 보안 중심 조직 개편은 의미가 크지만, 출발점일 뿐입니다. 이제 필요한 것은 잠재된 위협을 선제적으로 드러내고 해결하는 실행력입니다.
끝나지 않은 펨토셀 리스크는 여전히 존재합니다. 박윤영 대표가 강조한 ‘단단한 KT’는 보안 강화와 잠재 위협 선제 대응에서부터 시작돼야 할 듯 합니다.
