[디지털투데이 박근모 기자] 문재인 정부가 가계 통신비 절감 정책 중 하나로 공공와이파이(퍼블릭WiFi) 확대 카드를 꺼내 들면서 SK텔레콤, KT, LG유플러스 등 이동통신사업자 3사가 자사의 무선 인프라망을 순차적으로 개방하며 확대해 나가고 있다. 이와 함께 전국 시내버스와 지하철 등 공공 이동 수단을 중심으로 학교, 공공기관, 시장 등 민간인 유동 인구가 많은 밀집 지역에 공공와이파이를 이용할 수 있는 엑세스 포인트(AP) 최대 20만대를 설치할 계획이다.
정부가 주도하는 공공와이파이 사업의 경우 통신비 인하를 위한 긴급 카드로 꼽히면서 정책이 설익은 채로 도입되는 것 아니냐는 평이 나오고 있다. 특히 그동안 꾸준히 제기됐던 공공와이파이에 대한 보안 이슈가 해결되지 않은 상태에서 무리하게 공공와이파이 확대에 나서는 것 아니냐는 의견도 나온다.
국내 보안 업계에서는 각 통신사가 운용 중인 AP 중 일부는 구형 모델로 보안에 매우 취약한 상태인 것으로 파악 중이다. 특히 개방될 각 AP마다 최소 10명~100명의 불특정 사람들이 접속하는 만큼 그 중 누군가가 악성코드나 해킹을 한다면 해당 네트워크에 연결된 이들이 피해 볼 수 있다고 경고했다.
정부는 일차적으로 개방되는 공공와이파이의 경우 민간 통신사업자 인프라망을 이용하는 만큼 보안 책임 역시 통신사업자에게 있다는 의견이다. 다만, 공공와이파이 개방에 앞서 보안을 위한 가이드라인을 제시하는 만큼 이부분이 지켜진다면 보안 문제는 발생하지 않을 것이라는 설명이다. 또한 정부 예산을 활용한 본격적인 정부 주도의 공공와이파이 확대는 아직 예산도 확정되지 않은 상태로, 보안에 대한 움직임은 엄두도 못내는 상태다.
내년까지 공공와이파이로 46만개 AP 개방 예정
공공와이파이 확대는 문재인 정부가 가계 통신비 절감을 위한 100대 국정 과제 중 하나로 올해는 이동통신사업자들이 구축한 와이파이망을 공공와이파이로 개방하는 방식으로 진행되며 내년도부터는 해당 사업을 위한 예산을 마련해 본격적으로 시내버스, 지하철, 학교 등 다양한 곳에 약 20만개의 공공와이파이를 위한 AP를 본격적으로 확대해 나갈 예정이다.
과학기술정보통신부(장관 유영민)에 따르면 지난 2012년부터 지금까지 전국에 약 1만2300개소에 공공와이파이를 구축했다. 이 중 7210개소는 정부가, 5090개소는 이동통신사업자가 구축한 결과다.
현재 이동통신사업자 중 SK텔레콤이 구축한 전체 AP 13만1000개 중 61.8%인 8만1000개, KT가 18만9000개 AP 중 10만개, LG유플러스가 7만6472개의 AP를 개방했다. 이와 별개로 서울시가 자체적으로 올 하반기 중 AP 2000개를 추가해 총 AP 1만개의 공공와이파이를 제공할 계획이다.
공공와이파이 개방에 따라 보안 문제 발생 가능성 대두
문제는 공공와이파이의 경우 무료로 누구나 무선 인터넷망에 접속할 수 있도록 개방된만큼 보안에 취약하다는 점이 이전부터 지적돼 왔다. 특히 보안 전문가들은 불특정 다수가 접속하는 공공와이파이인만큼 보안에 특히 주의를 해야하지만, 그런 움직임이 선행되지 않은 것 같다는 의견이다.
윤광택 시만텍코리아 최고기술책임자(CTO)는 "공공와이파이가 확산됨에 따라 공공와이파이를 사칭한 가짜 와이파이가 등장할 수 있다"라며 "공공와이파이를 안전하게 사용하기 위해서 높은 강도의 암호나 암호화, 인증서 등을 적용한다면 공공와이파이 사용자의 안전성이 높아질 것"이라고 전했다.
다만 "그 역시 암호나 인증서가 해커들에게 노출된다면 해당 조치가 무용지물 되는 것은 마찬가지"라고 덧붙였다.
한국인터넷진흥원이 지난달 발표한 '2017년 2분기 사이버동향보고서'에 따르면 공유기(AP)의 취약점이 1분기 4건에서 2분기 12건으로 빠르게 증가하고 있는 것으로 나타났다.
정부의 계획대로라면 현재 이동통신사가 개방한 AP 25만7472개에 정부가 직접 구축할 20만개의 AP, 그리고 서울시의 1만개 등 총 46만7472개의 공공와이파이를 위한 AP가 개방되는만큼 취약점이 노출될 가능성은 커질 것으로 보인다. 결국 AP 취약점이 노출되면 해당 취약점을 노린 사이버공격도 증가하게 된다.
최상명 하우리 CERT 실장은 "공공와이파이는 다양한 보안문제가 산적해 있다"라며 "기본적으로 와이파이에는 통신 구간의 암호화 및 인증이 있는데, 그 강도에 따라 같은 네트워크 안의 트래픽을 탈취할 수 있다"고 설명했다.
이어 "공공와이파이의 경우 해당 1개의 AP에 접속해 이용하는 사용자가 최소 10명 이상일텐데, 그 중 누군가가 랜섬웨어나 악성코드를 퍼트린다면 해당 네트워크의 사용자가 모두 감염될 가능성이 높다"라며 "이를 막기위해 방화벽이 AP마다 개별로 다 탑재돼 있다면 문제가 없을 수 있다"고 덧붙였다.
다만, AP 별로 방화벽을 모두 건다면 인터넷 속도나 이런 부분에 문제가 발생할 가능성이 높은만큼 이동통신사업자나 정부가 그렇게 하진 못할 것이라며 완벽한 보안은 존재하지 않기 때문에 이부분에 대한 대비가 반드시 필요하다는 설명이다.
정부, 공공와이파이 보안 이통사에 일임
과기정통부에 따르면 이동통신사업자의 인프라를 이용한 공공와이파이 개방의 경우 보안과 운영 책임이 이동통신사업자에 있다. 문제는 민간 이동통신사업자의 현 보안 수준이나 보안 운영 방법 등을 정부 차원에서 확인할 방법이 없다는 사실이다. 다만, 과기정통부에서는 민간 이동통신사업자들이 공공와이파이를 개방하는 부분에 있어서 보안 정책적인 가이드라인을 제시하고 있다.
오승곤 과학기술정보통신부 통신자원정책과 과장은 "공공와이파이를 비롯해 네트워크 시스템을 구축하고 운영하는 민간 이동통신사업자가 보안을 책임지게 된다"라며 "이동통신사업자가 보유하고 있는 보안 솔루션이나 시스템 등은 정부가 확인할 수 있는 방법이 사실상 없는 상태"라고 말했다.
이어 "다만, 기본적으로 AP를 통해서 들어오는 이벤트나 트래픽 등을 탐지할 수 있는 외부침입방지시스템(IPS)이나 방화벽 등은 가이드라인을 통해 기본적으로 하도록 설정한만큼 보안 문제가 발생할 가능성은 없다"고 강조했다.
이통사, 공공와이파이를 위한 보안 대책 마련한 상태
공공와이파이의 경우 기본적으로 무선 네트워크를 통해 이뤄지기 때문에 보안에 취약한 것은 사실이나 랜섬웨어나 악성코드 등 멀웨어를 1차적으로 차단할 수 있는 방화벽과 외부침입방지시스템, 이상 트래픽 감지 시스템 등을 구축해 운영한다는 설명이다.
보안업계에 따르면 정부의 보안 가이드라인이 있다고 하더라도 이동통신사업자가 자체적으로 구축하고 운영한다지만, 현 보안 상황을 검증할 방법이 없는 만큼 이에 대한 검증 수단이 필요하다는 의견이다.
박재범 시스코시스템즈코리아 통신사업본부 부사장은 "시스코에서 현재 나오는 네트워크 장비들에는 방화벽이나 VPN 등 보안을 위한 솔루션들이 탑재된 상태"라며 "와이파이의 신호 세기와 트래픽을 감지해서 이상 신호를 탐지하는 등 보안을 위한 수단을 탑재한 만큼 공공와이파이에도 아무 문제가 없다"고 말했다.
이어 "다만, 설치된지 오래된 AP의 경우 보안 솔루션 미탑재 등으로 문제가 발생할 가능성도 어느정도는 있다"고 설명했다.
전국 10만개의 공공와이파이 AP를 개방한 KT 측은 "KT 내부에 대규모 관제 시스템을 유지하고 있는 만큼 방화벽이나 이상 트래픽의 경우 모두 탐지해서 철저히 관리하고 있다"라며 "KT가 10만개의 공공와이파이를 개방하면서 노후화된 AP는 교체하면서 진행한 상태"라고 전했다.
이어 "보안 이슈는 통신이나 금융 분야 등 어디에나 있다"라며 "KT는 기간망을 오랜 기간 운영한 만큼 보안 노하우가 충분히 있기 때문에 보안 문제 발생시 발빠르게 대응할 준비를 항상 대비하고 있다"고 덧붙였다.