KT 무단 소액결제 사건의 범행 수법으로 지목된 '펨토셀(초소형 이동통신기지국)'이 현행 정보보호관리체계에서 빠진 사각지대에 있었던 것으로 나타났다.
뉴시스 보도에 따르면, 25일 국회 과학기술정보방송통신위원회 소속 조국혁신당 이해민 의원은 팸토셀, 무선 기지국 등 핵심 설비들이 정작 ISMS(정보보호관리체계인증), ISMS-P 인증 범위에서 제외돼있었다고 지적했다. 인증범위 확대를 포함한 제도 전반의 개편이 시급할 것으로 전망된다.
이 의원이 한국인터넷진흥원(KISA)으로부터 제출받은 'ISMS-P 인증제도 안내서'에 따르면 ISP(정보통신망서비스제공자)의 ISMS-P 설비 인증범위는 'IP 기반의 인터넷 연결을 위한 정보통신설비 및 관련 서비스를 제공하기 위한 정보통신설비'로 규정되어 있다.
이 정의에 따르면 초소형 이동통신기지국인 팸토셀과 무선 기지국 역시 포함돼야 하지만 실제 인증심사에서는 제외하고 있는 것으로 확인됐다.
KISA는 이에 대해 "ISMS-P 인증은 인력·예산 한계로 인해 코어망 중심으로만 진행하고 있으며 무선기지국은 중앙전파관리소가 관리하기 때문에 범위에 포함하지 않고 있다"고 설명했다.
하지만 중앙전파관리소와 한국방송통신전파진흥원이 실시하는 무선기지국 검사는 장비의 성능과 전파 혼·간섭 여부 등을 확인할 뿐 보안성 검증을 실시하지는 않는다. 이 때문에 무선 기지국과 팸토셀 같은 설비가 보안 사각지대로 남아 해킹사고가 반복되고 있는 것으로 보인다.
아울러 ISMS-P 제도의 비용 대비 실효성 부족도 문제로 지적된다. 이 의원은 기업들이 수천만원에 달하는 인증비용과 인력 투입을 감수하지고 있지만, 정작 핵심 위험지대는 제도 밖에 놓여 있어 '비싼 돈만 들고 효과는 없다'는 불만이 커지고 있다고 꼬집었다.
이 의원은 "이번 해킹 피해 기업들 모두 ISMS 또는 ISMS-P 인증을 받은 곳이었다. 국민들은 정부 인증을 신뢰하고 그 신뢰를 기반으로 기업 서비스를 이용하지만, 지금과 같은 현실과 동떨어진 인증 기준과 기업 자율에 맡겨진 형식적 검토만으로는 실제 보안수준을 높일 수 없다"고 비판했다.
이어 "ISP 사업자의 경우 코어망 외부에서도 보안사고가 발생하고 있는 만큼 인증범위를 확대해야 한다"며 "형식적 서류심사·체크리스트 위주의 인증이 아니라 실제 해킹 위협 시나리오 기반으로 보안관리 체계를 전면 개편해야 한다"고 강조했다.
Copyright ⓒ 모두서치 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
