| 스마트에프엔 = 양대규 기자 | KT 무단 소액결제에 사용된 불법 초소형 기지국(펨토셀)이 정부의 정보보호 인증을 받지 못하는 것으로 알려졌다.
25일 국회 과학기술정보방송통신위원회 소속 조국혁신당 이해민 의원실이 한국인터넷진흥원(KISA)으로부터 제출받은 자료인 정보보호관리체계(ISMS-P) 인증제도 안내서에 따르면 펨토셀은 ISMS-P 인증범위에 빠져있는 것으로 나타났다.
ISMS-P 인증은 사이버 침해 위협에 효과적으로 대응할 수 있는지, 기업의 정보 보호 체계와 고객 개인정보 보호 관리 체계가 적절히 운영되는지를 심사하는 공인 인증 제도다. 개인정보보호위원회가 주관하고 KISA가 관리·감독하는 국내 최고 수준의 관리 체계 인증으로 평가받는다.
안내서에 따르면 ISP(정보통신망서비스제공자)의 ISMS-P의 인증범위는 정보제공자(IP) 기반의 인터넷 연결을 위한 정보통신설비나 관련 서비스를 제공하기 위한 정보통신설비이다.
펨토셀과 무선기지국도 안내서에서 밝힌 인증 범위에 포함된다. 하지만 실제 인증심사에서는 누락된 것으로 나타났다.
KISA는 "ISMS-P 인증은 인력과 예산의 한계로 코어망 중심으로만 진행되고 있다"며 "무선기지국은 중앙전파관리소가 관리하기 때문에 범위에 포함하지 않는다"고 설명했다.
이해민 의원실에 따르면 중앙전파관리소와 한국방송통신전파진흥원이 실시하는 무선기지국 검사는 장비의 성능과 전파의 혼섭이나 간섭 여부만 확인하고 보안성 검증을 하지 않는 것으로 나타났다.
무선 기지국과 펨토셀은 결국 보안 사각지대로 남아 해킹 사고를 방치할 수 밖에 없는 상황이다.
이 의원은 "해킹 피해를 본 기업은 ISMS나 ISMS-P 인증을 받은 곳"이라며 "국민은 정부 인증을 신뢰하고 기업 서비스를 이용하지만, 현실과 동떨어진 인증 기준과 기업 자율에 맡긴 형식적 검토만으로 보안 수준을 높일 수 없다"고 지적했다.
실제로 최근 해킹을 당한 롯데카드도 ISMS-P 인증을 받은 것으로 알려졌다.
전날 조인철 더불어민주당 의원은 국회 과학기술정보방송통신위원회 청문회에서 “(롯데카드가) ISMS-P 인증에서 적합 판정을 받은 지 얼마 되지도 않아 유출 사태가 있었다”며 “롯데카드가 인증 기준을 제대로 따르지 않았거나, ISMS-P의 평가 항목이 전혀 쓸모가 없었거나 둘 중 하나일 것”이라고 비판했다.
이에 이해민 의원은 "ISP 사업자의 경우 코어망 외부에서도 보안 사고가 발생하는 만큼 인증 범위를 확대해야 한다"며 "형식적인 서류심사나 체크리스트 위주의 인증이 아니라 실제 해킹 위협 시나리오를 토대로 보안관리 체계를 개편해야 한다"고 말했다.
- 과기정통부 "KT, 해지 위약금 면제 가능성"···KT "검토중"
- 김영섭 KT 대표 “펨토셀 관리부실”···“사퇴 보다 사건 수습 우선”
- 경찰 접수 'KT 무단 소액결제' 214건···서초·동작 포함해↑
- 과기정통부, "엄중한 사이버 위기 상황···기업 정보보안 강화 총력 당부"
- KT 무단 소액결제 "무차별적 침해 일어나, KT 근본적 책임"
- 정부, 잇단 해킹사태에 “엄중 인식”···범부처 대책 착수
- KT, 협력사 납품대금 1859억원 조기 지급
- [기자수첩] 보안은 비용 아닌 신뢰···변명은 그만해야
- '국가 전산망 멈췄다' 대전 국정자원 전산실서 리튬이온배터리 화재
- 8월까지 보건복지부 해킹 시도 5만6000여건···작년 대비 166배↑
- 이통통신 3사 고객 25%, 선택약정 할인 놓쳐···2조원 규모
- 역대 최대 기업인 증인출석···2025국감 '관전포인트'
- 과방위 '국감' 증인석에 이통3사 CEO를 모두 호출한 이유는? '보안 부실' 책임 집중 추궁
- KT 불법 기지국 20여개 추가 발견···소액결제 피해자도↑
- SK쉴더스, 해커 추적용 시스템 침해···"KISA에 즉시 신고”