“정보보호 인증에 펨토셀 미포함…개편 시급”

이해민 의원 "인증 맹점이 해킹 불러"

사진=연합뉴스

이해민 조국혁신당 의원은 KT 해킹사고의 발단이 된 불법 초소형 기지국(펨토셀)이 정보통신기술(ICT) 정보보호 인증인 정보보호관리체계인증(ISMS) 항목에서 제외돼 있다는 사실을 지적하며 인증 제도 개편이 시급하다고 25일 강조했다.

이 의원이 한국인터넷진흥원(KISA)으로부터 제출받은 ‘ISMS-P 인증제도 안내서’에 따르면 KT를 포함한 정보통신망서비스사업자(ISP)의 ISMS-P 인증 범위는 ‘인터넷 프로토콜(IP) 기반의 인터넷 연결을 위한 정보통신설비 및 관련 서비스를 제공하기 위한 정보통신설비’로 규정돼 있다. 펨토셀을 포함한 기지국 역시 이 범위에 포함돼야 하지만 실제 인증 심사에서는 제외돼 있었다.



KISA는 “ISMS-P 인증은 인력·예산 한계로 인해 코어망 중심으로만 진행하고 있다”며 “무선기지국은 중앙전파관리소가 관리하기 때문에 범위에 포함하지 않고 있다”고 해명했다. 하지만 중앙전파관리소와 한국방송통신전파진흥원이 실시하는 무선기지국 검사는 장비의 성능과 전파 혼·간섭 여부 등을 확인할 뿐 보안성 검증을 실시하지는 않는다. 펨토셀이 보안 사각지대로 남아 해킹 수단으로 쓰인 것이다.

이 의원은 “이번 해킹 피해 기업들 모두 ISMS 또는 ISMS-P 인증을 받았다”며 “국민들은 정부 인증을 신뢰하고 그 신뢰를 기반으로 기업 서비스를 이용하지만 지금과 같은 현실과 동떨어진 인증 기준과 기업 자율에 맡겨진 형식적 검토만으로는 실제 보안수준을 높일 수 없다”고 말했다. 그는 이어 “ISP의 경우 코어망 외부에서도 보안사고가 발생하고 있는 만큼 인증범위를 확대해야 한다”며 “형식적 서류심사·체크리스트 위주의 인증이 아니라 실제 해킹 위협 시나리오 기반으로 보안관리 체계를 전면 개편해야 한다”고 했다.