과기부 "서버 폐기·은폐 정황 땐 수사 의뢰"
[HBN뉴스 = 한주연 기자] KT 해킹과 무단 소액결제 사태의 원인으로 지목된 불법 초소형 기지국(펨토셀)이 정부의 정보보호 인증 범위의 사각지대에 놓여 있던 것으로 확인됐다.
KT역시 지난 24일 무단 소액결제 범행에 활용된 것으로 추정되는 펨토셀 관리가 부실했다고 인정하면서 문자 메시지(SMS) 등 모든 소액결제 인증 방식을 대상으로 피해를 파악하고 있다고 밝혔다.
 |
| 김영섭 KT 대표가 24일 국회 과학기술정보방송통신위원회에서 열린 통신·금융 대규모 해킹사고에 대한 청문회에서 중국 온라인 쇼핑몰에서 판매되고 있는 가짜 기지국 관련 질문에 답하고 있다. [사진=연합뉴스] |
25일 국회 과학기술정보방송통신위원회 소속 이해민 조국혁신당 의원실이 한국인터넷진흥원(KISA)으로부터 제출받은 자료인 정보보호관리체계(ISMS-P) 인증제도 안내서에 따르면 펨토셀은 ISMS-P 인증범위에 빠져있는 것으로 나타났다.
ISMS-P는 개인정보보호위원회가 주관하는 개인정보보호 관리체계(ISMS-P)로 KISA는 관리·감독을 맡는다.
안내서는 ISP(정보통신망서비스제공자)의 ISMS-P의 인증범위는 정보제공자(IP) 기반의 인터넷 연결을 위한 정보통신설비나 관련 서비스를 제공하기 위한 정보통신설비로 규정했다.
이러한 정의에 따르면 펨토셀과 무선기지국도 인증 범위에 포함되지만, 실제 인증심사에서는 누락된 것이다.
KISA는 "ISMS-P 인증은 인력과 예산의 한계로 코어망 중심으로만 진행되고 있다"며 "무선기지국은 중앙전파관리소가 관리하기 때문에 범위에 포함하지 않는다"고 설명했다.
그러나 이 의원실은 중앙전파관리소와 한국방송통신전파진흥원이 실시하는 무선기지국 검사는 장비의 성능과 전파의 혼섭이나 간섭 여부만 확인하고 보안성 검증을 하지 않는다며 무선 기지국과 펨토셀이 보안 사각지대로 남아 해킹 사고가 반복된다고 지적했다.
이 의원은 ISMS-P 제도의 실효성 부족도 비판했다. 이 의원은 "해킹 피해를 본 기업은 ISMS나 ISMS-P 인증을 받은 곳이다"라며"ISP 사업자의 경우 코어망 외부에서도 보안 사고가 발생하는 만큼 인증 범위를 확대해야 한다.형식적인 서류심사나 체크리스트 위주의 인증이 아니라 실제 해킹 위협 시나리오를 토대로 보안관리 체계를 개편해야 한다"고 강조했다.
전날 김영섭 KT 대표는 국회 과학기술정보방송통신위원회가 연 KT·롯데카드 해킹 사태 청문회에 증인으로 출석해 "소액결제 사고 뒤 펨토셀 관리 실태를 보니 허점이 많고 관리가 부실했다. 사고 이후 (불법 펨토셀이) 망에 붙지 못하게 조치했다"고 말하며 관리 부실이 사건을 초래한 원인이라는 지적에 인정했다.
류제명 과기정통부 2차관은 KT의 인증키 등 복제폰 생성을 위한 주요 개인정보 해킹으로 인한 유출 가능성에 대해 철저히 보겠다고 밝혔다.
류 차관은 KT의 서버 폐기 의혹 지적과 관련해서는 "서버 폐기나 신고 지연 등에 고의성이 있는지 파악하는 대로 필요시 경찰 수사 의뢰 등 강력히 조치하겠다"고 강조했다.
[저작권자ⓒ HBN뉴스. 무단전재-재배포 금지]
