온라인 슬롯사이트팸토셀-코어망 개통·연결 과정(인증절차)ⓒ이해민 의원

온라인 슬롯사이트가 펨토셀 장비 인증·개통 절차를 허술하게 운영해 해외 제조 불법장비까지 자사망에 접속하도록 방치했다는 지적이 나왔다.

국회 과학기술정보방송통신위원회 소속 조국혁신당 이해민 의원이 통신사들로부터 제출 받은 자료에 따르면 입수된 불법 펨토셀 장비는 온라인 슬롯사이트와 무관한 해외 제조 제품으로 확인됐다.

온라인 슬롯사이트 장비가 아니더라도 온라인 슬롯사이트 기지국에 접속이 가능했다는 의미로, 단순히 펨토셀 장비 관리뿐 아니라 통신망 관리 체계 전반이 부실하게 운영됐다는 비판이 나온다.

통신 3사는 모두 펨토셀 설치·개통 시 1 단계로 ‘인증서버 인증’을 거쳐 자사 온라인 슬롯사이트 여부를 확인하고, 이후 IPsec 통신용 인증서를 발급받는다. 이때 LGU+와 SKT는 각각 온라인 슬롯사이트별로 부여된 제조사 인증서, USIM 키 정보 등을 통해 개별 온라인 슬롯사이트 단위로 인증 절차를 진행한다 .

반면 온라인 슬롯사이트 는 제조사가 부여하는 ‘벤더키(Vendor Key)’ 값만 일치하면 IPsec 통신을 위한 인증서가 발급되는 구조다.

벤더키는 제조사가 온라인 슬롯사이트 용 장비를 구분하기 위해 부여하는 값으로 온라인 슬롯사이트의 경우 모든 펨토셀 장비에 동일한 값이 적용돼 있다. 따라서 불법 장비라도 온라인 슬롯사이트용 벤더키를 입수했다면 인증이 가능한 상황이다.

이해민 의원은 “온라인 슬롯사이트와 LGU+ 모두 같은 제조사인 이노와이어리스의 펨토셀 장비를 사용했지만, LGU+는 장비별로 부여되는 제조사 인증서와 일련번호 등 추가 검증을 거치는 반면 온라인 슬롯사이트 는 벤더키 하나만 확인하고 인증을 부여했다”며 “가장 기본적인 인증 절차를 강화하지 않았기 때문에 같은 제조사 장비를 사용하고도 온라인 슬롯사이트에서만 불법 접속이 가능했던 것”이라고 지적했다.

이 의원은 “온라인 슬롯사이트 는 과거 펨토셀을 고객이 직접 설치할 수 있도록 하면서 장비 포장상자 외부에 일련번호가 그대로 노출되는 등 보안상 허점이 반복적으로 지적돼 왔으며, 이번 사태에서는 개별 펨토셀 ID DB 조차 제대로 관리되지 않은 사실이 드러난 만큼, 추가 인증과정에서의 우회방식에 대해서도 철저한 조사가 필요하다”고 밝혔다.