【서울 = 서울뉴스통신】 최정인 기자 = KT 무단 소액결제 사건의 주요 수단으로 지목된 초소형 이동통신기지국 ‘펨토셀’이 현행 정보보호 관리체계(ISMS·ISMS-P) 인증에서 제외돼 보안 사각지대에 놓여 있었다는 지적이 나왔다.
25일 국회 과학기술정보방송통신위원회 소속 조국혁신당 이해민 의원은 한국인터넷진흥원(KISA) 자료를 토대로 “펨토셀과 무선 기지국은 ISP 사업자의 핵심 설비임에도 불구하고 ISMS-P 인증 범위에 포함되지 않았다”며 제도 전반의 개편 필요성을 제기했다.
실제로 ISMS-P 안내서에는 ‘IP 기반 인터넷 연결을 위한 정보통신설비 및 관련 서비스 제공 설비’가 인증 범위로 규정돼 있어, 정의상 무선 기지국 역시 포함돼야 한다. 그러나 KISA는 “인력·예산 한계로 코어망 중심 심사만 진행하고 있으며, 무선 기지국은 중앙전파관리소가 관리하기 때문에 제외한다”는 입장을 밝혔다.
문제는 중앙전파관리소와 한국방송통신전파진흥원이 실시하는 검사가 장비 성능이나 전파 혼·간섭 여부만 확인할 뿐, 보안성 검증은 하지 않는다는 점이다. 이로 인해 펨토셀과 같은 설비는 보안 점검 공백 상태로 남아 해킹 사고의 원인이 되고 있다는 비판이 제기된다.
또한 인증 제도의 실효성 부족도 논란이 되고 있다. 기업들은 수천만 원에 이르는 인증 비용과 인력 투입을 감수하고 있지만, 정작 핵심 위험 지대는 제도에서 제외돼 ‘돈만 들고 효과는 없다’는 불만이 커지고 있다. 이 의원은 “이번 해킹 피해 기업들 모두 ISMS 또는 ISMS-P 인증을 받은 곳이었음에도 사고가 발생했다”며 “국민은 정부 인증을 신뢰하지만, 현실과 동떨어진 기준과 형식적 서류심사만으로는 보안을 강화할 수 없다”고 지적했다.
이어 “ISP 사업자의 보안사고는 코어망 외부에서도 발생하고 있는 만큼 인증 범위를 확대해야 한다”며 “체크리스트 위주의 형식적 심사가 아니라 실제 해킹 위협 시나리오를 기반으로 보안 관리 체계를 전면적으로 개편해야 한다”고 강조했다.
