[뉴스토마토 이지은 기자]
KT(030200) 무단 소액결제 사태 원인으로 지목되는 초소형 이동통신기지국(펨토셀)이 정부 정보보호 인증 범위에서 제외됐던 것으로 드러났습니다. 이해민 조국혁신당 의원은 정부의 정보보호 인증 범위 확대를 포함한 제도 전반 개편이 필요하다고 지적했습니다.
25일 국회 과학기술정보방송통신위원회(과방위) 소속 이해민 의원이 한국인터넷진흥원(KISA)으로부터 제출받은 정보보호 관리체계인 ISMS-P 인증제도 안내서에 따르면, 정보통신망서비스제공자(ISP)의 ISMS-P 설비 인증범위는 인터넷(IP) 기반의 인터넷 연결을 위한 정보통신설비 및 관련 서비스를 제공하기 위한 정보통신설비로 규정돼 있는 것으로 나타났습니다. 이 정의에 따르면 초소형 이동통신기지국인 팸토셀과 무선 기지국 역시 포함돼야 하지만 실제 인증 심사에서는 제외하고 있는 것으로 확인됐습니다.
이해민 조국혁신당 의원. (사진=이해민 의원실)
KISA는 이에 대해 "ISMS-P 인증은 인력·예산 한계로 인해 코어망 중심으로만 진행하고 있으며 무선기지국은 중앙전파관리소가 관리하기 때문에 범위에 포함하지 않고 있다"고 설명했습니다. 그러나 중앙전파관리소와 한국방송통신전파진흥원이 실시하는 무선기지국 검사는 장비의 성능과 전파 혼·간섭 여부 등을 확인할 뿐, 보안성 검증을 실시하지는 않고 있습니다. 이 때문에 무선 기지국과 팸토셀 같은 설비가 보안 사각지대로 남아 해킹 사고가 반복되고 있다는 지적이 나옵니다.
ISMS-P 제도의 비용 대비 실효성 부족도 문제로 지적됩니다. 기업들은 수천만원에 달하는 인증 비용과 인력 투입을 감수하지만 정작 핵심 위험지대는 제도 밖에 놓여 있어 '비싼 돈만 들고 효과는 없다'는 불만이 커지고 있습니다.
이해민 의원은 "이번 해킹 피해 기업들 모두 ISMS 또는 ISMS-P 인증을 받은 곳이었다"며 "국민들은 정부 인증을 신뢰하고 그 신뢰를 기반으로 기업 서비스를 이용하지만 지금과 같은 현실과 동떨어진 인증 기준과 기업 자율에 맡겨진 형식적 검토만으로는 실제 보안 수준을 높일 수 없다"고 비판했습니다.
이어 이 의원은 "ISP 사업자의 경우 코어망 외부에서도 보안 사고가 발생하고 있는 만큼 인증 범위를 확대해야 한다"며 "형식적 서류심사·체크리스트 위주의 인증이 아니라 실제 해킹 위협 시나리오 기반으로 보안관리 체계를 전면 개편해야 한다"고 강조했습니다.
이지은 기자 jieunee@etomato.com
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 김나볏 테크지식산업부장이 최종 확인·수정했습니다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지