KT 해킹 사태의 원인이 된 불법 초소형 기지국(펨토셀)이 정부의 정보보호 인증 범위의 사각지대에 놓여 있던 것으로 확인됐습니다.

국회 과학기술정보방송통신위원회 소속 조국혁신당 이해민 의원실이 한국인터넷진흥원(KISA)으로부터 제출받은 자료인 정보보호관리체계(ISMS)-P 인증제도 안내서에 따르면 펨토셀은 ISMS-P 인증범위에 빠져있는 것으로 나타났습니다.

ISMS-P는 개인정보보호위원회가 주관하는 개인정보보호 관리체계(ISMS-P)로 KISA는 관리·감독을 맡습니다.

안내서는 ISP(정보통신망서비스제공자)의 ISMS-P의 인증범위는 정보제공자(IP) 기반의 인터넷 연결을 위한 정보통신설비나 관련 서비스를 제공하기 위한 정보통신설비로 규정했습니다.

이러한 정의에 따르면 펨토셀과 무선기지국도 인증 범위에 포함되지만, 실제 인증심사에서는 누락된 것입니다.

KISA는 "ISMS-P 인증은 인력과 예산의 한계로 코어망 중심으로만 진행되고 있다"며 "무선기지국은 중앙전파관리소가 관리하기 때문에 범위에 포함하지 않는다"고 설명했습니다.

하지만 이 의원실에 따르면 중앙전파관리소와 한국방송통신전파진흥원이 실시하는 무선기지국 검사는 장비의 성능과 전파의 혼섭이나 간섭 여부만 확인하고 보안성 검증을 하지 않습니다.

이에 무선 기지국과 펨토셀이 보안 사각지대로 남아 해킹 사고가 반복된다는 게 이 의원실의 설명입니다.

이 의원은 ISMS-P 제도의 실효성 부족도 비판했습니다.

이 의원은 "해킹 피해를 본 기업은 ISMS나 ISMS-P 인증을 받은 곳이다"라며 "국민은 정부 인증을 신뢰하고 기업 서비스를 이용하지만, 현실과 동떨어진 인증 기준과 기업 자율에 맡긴 형식적 검토만으로 보안 수준을 높일 수 없다"고 지적했습니다.

이어 "ISP 사업자의 경우 코어망 외부에서도 보안 사고가 발생하는 만큼 인증 범위를 확대해야 한다"며 "형식적인 서류심사나 체크리스트 위주의 인증이 아니라 실제 해킹 위협 시나리오를 토대로 보안관리 체계를 개편해야 한다"고 강조했습니다.



연합뉴스TV 기사문의 및 제보 : 카톡/라인 jebo23

최덕재(DJY@yna.co.kr)