KT 소액결제 악용된 ‘펨토셀’, 보안체계 사각지대에 있었다

과방위 이해민 의원 지적…펨토셀, ISMS/ISMS-P 인증 범위서 제외
“인증범위 확대 등 제도 개편 시급…형식적 서류 심사만으로 안돼”

ⓒ뉴시스

KT 무단 소액결제 사건의 범행 수법으로 지목된 ‘펨토셀(초소형 이동통신기지국)’이 현행 정보보호관리체계에서 빠진 사각지대에 있었던 것으로 나타났다.

25일 국회 과학기술정보방송통신위원회 소속 조국혁신당 이해민 의원은 팸토셀, 무선 기지국 등 핵심 설비들이 정작 ISMS(정보보호관리체계인증), ISMS-P 인증 범위에서 제외돼있었다고 지적했다. 인증범위 확대를 포함한 제도 전반의 개편이 시급할 것으로 전망된다.

이 의원이 한국인터넷진흥원(KISA)으로부터 제출받은 ‘ISMS-P 인증제도 안내서’에 따르면 ISP(정보통신망서비스제공자)의 ISMS-P 설비 인증범위는 ‘IP 기반의 인터넷 연결을 위한 정보통신설비 및 관련 서비스를 제공하기 위한 정보통신설비’로 규정되어 있다.

이 정의에 따르면 초소형 이동통신기지국인 팸토셀과 무선 기지국 역시 포함돼야 하지만 실제 인증심사에서는 제외하고 있는 것으로 확인됐다.

KISA는 이에 대해 “ISMS-P 인증은 인력·예산 한계로 인해 코어망 중심으로만 진행하고 있으며 무선기지국은 중앙전파관리소가 관리하기 때문에 범위에 포함하지 않고 있다”고 설명했다.

하지만 중앙전파관리소와 한국방송통신전파진흥원이 실시하는 무선기지국 검사는 장비의 성능과 전파 혼·간섭 여부 등을 확인할 뿐 보안성 검증을 실시하지는 않는다. 이 때문에 무선 기지국과 팸토셀 같은 설비가 보안 사각지대로 남아 해킹사고가 반복되고 있는 것으로 보인다.

아울러 ISMS-P 제도의 비용 대비 실효성 부족도 문제로 지적된다. 이 의원은 기업들이 수천만원에 달하는 인증비용과 인력 투입을 감수하지고 있지만, 정작 핵심 위험지대는 제도 밖에 놓여 있어 ‘비싼 돈만 들고 효과는 없다’는 불만이 커지고 있다고 꼬집었다.

이 의원은 “이번 해킹 피해 기업들 모두 ISMS 또는 ISMS-P 인증을 받은 곳이었다. 국민들은 정부 인증을 신뢰하고 그 신뢰를 기반으로 기업 서비스를 이용하지만, 지금과 같은 현실과 동떨어진 인증 기준과 기업 자율에 맡겨진 형식적 검토만으로는 실제 보안수준을 높일 수 없다”고 비판했다.

이어 “ISP 사업자의 경우 코어망 외부에서도 보안사고가 발생하고 있는 만큼 인증범위를 확대해야 한다”며 “형식적 서류심사·체크리스트 위주의 인증이 아니라 실제 해킹 위협 시나리오 기반으로 보안관리 체계를 전면 개편해야 한다”고 강조했다.

[서울=뉴시스]