굿모닝작전
ISMS-P 인증 범위서 제외…보안 검증 공백
이해민 "실제 위협 시나리오 기반 개편 필요"
(서울=연합뉴스) 오지은 기자 = KT[030200] 해킹 사태의 원인이 된 불법 초소형 기지국(펨토셀)이 정부의 정보보호 인증 범위의 사각지대에 놓여 있던 것으로 확인됐다.
25일 국회 과학기술정보방송통신위원회 소속 조국혁신당 이해민 의원실이 한국인터넷진흥원(KISA)으로부터 제출받은 자료인 정보보호관리체계(ISMS)-P 인증제도 안내서에 따르면 펨토셀은 ISMS-P 인증범위에 빠져있는 것으로 나타났다.
ISMS-P는 개인정보보호위원회가 주관하는 개인정보보호 관리체계(ISMS-P)로 KISA는 관리·감독을 맡는다.
안내서는 ISP(정보통신망서비스제공자)의 ISMS-P의 인증범위는 정보제공자(IP) 기반의 인터넷 연결을 위한 정보통신설비나 관련 서비스를 제공하기 위한 정보통신설비로 규정했다.
이러한 정의에 따르면 펨토셀과 무선기지국도 인증 범위에 포함되지만, 실제 인증심사에서는 누락된 것이다.
KISA는 "ISMS-P 인증은 인력과 예산의 한계로 코어망 중심으로만 진행되고 있다"며 "무선기지국은 중앙전파관리소가 관리하기 때문에 범위에 포함하지 않는다"고 설명했다.
하지만 이 의원실에 따르면 중앙전파관리소와 한국방송통신전파진흥원이 실시하는 무선기지국 검사는 장비의 성능과 전파의 혼섭이나 간섭 여부만 확인하고 보안성 검증을 하지 않는다.
이에 무선 기지국과 펨토셀이 보안 사각지대로 남아 해킹 사고가 반복된다는 게 이 의원실의 설명이다.
이 의원은 ISMS-P 제도의 실효성 부족도 비판했다.
이 의원은 "해킹 피해를 본 기업은 ISMS나 ISMS-P 인증을 받은 곳이다"라며 "국민은 정부 인증을 신뢰하고 기업 서비스를 이용하지만, 현실과 동떨어진 인증 기준과 기업 자율에 맡긴 형식적 검토만으로 보안 수준을 높일 수 없다"고 지적했다.
이어 "ISP 사업자의 경우 코어망 외부에서도 보안 사고가 발생하는 만큼 인증 범위를 확대해야 한다"며 "형식적인 서류심사나 체크리스트 위주의 인증이 아니라 실제 해킹 위협 시나리오를 토대로 보안관리 체계를 개편해야 한다"고 강조했다.
built@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포, AI 학습 및 활용 금지>
