큰사진보기 ▲김영섭 KT 대표이사가 24일 국회 과학기술정보방송통신위원회에서 열린 통신·금융 대규모 해킹사고에 대한 청문회에서 중국 온라인 쇼핑몰에서 판매되고 있는 가짜 기지국 관련 질문에 답하고 있다 ⓒ 연합뉴스 관련사진보기

AD

큰사진보기 ▲김영섭 KT 대표이사가 24일 국회 과학기술정보방송통신위원회에서 열린 통신·금융 대규모 해킹사고에 대한 청문회에서 위원 질의에 답하고 있다. ⓒ 연합뉴스 관련사진보기

케이티(KT) 해킹 사태의 원인으로 지목된 불법 초소형 기지국(펨토셀)이 정보보호 인증 범위에서 누락되면서 보안의 사각지대에 놓여 있던 것으로 확인됐다.25일 국회 과학기술정보방송통신위원회 소속 이해민 조국혁신당 의원실이 한국인터넷진흥원(KISA)으로부터 제출받은 정보보호관리체계(ISMS-P) 인증제도 안내서에 따르면 펨토셀은 인증 대상 범위에서 빠져있는 것으로 나타났다.ISMS-P는 개인정보보호위원회 주관 아래 정보보호 관리체계를 인증하는 제도로 KISA가 관리·감독을 맡고 있다. 안내서는 ISP(정보통신망서비스제공자)의 ISMS-P 인증 범위를 정보제공자(IP) 기반의 인터넷 연결을 위한 정보통신설비나 관련 서비스를 제공하기 위한 정보통신설비로 규정하고 있다. 결국 펨토셀과 무선기지국도 인증 범위에 포함되지만, 실제 인증심사에서는 누락된 것이다.KISA는 이에 대해 "ISMS-P 인증은 인력·예산 한계로 인해 코어망 중심으로만 진행하고 있다"며 " 무선기지국은 중앙전파관리소가 관리하기 때문에 범위에 포함 하지 않고 있다"고 설명했다.그러나 이 의원실은 중앙전파관리소와 한국방송통신전파진흥원이 실시하는 무선기지국 검사는 장비의 성능과 전파 혼·간섭 여부 등을 확인할 뿐, 보안성 검증을 실시하지는 않는다고 지적했다. 이 때문에 무선 기지국과 팸토셀 같은 설비가 보안 사각지대로 남아 해킹사고가 반복되고 있다는 판단이다.ISMS-P 제도의 비용 대비 실효성에 대한 문제도 제기했다. 이해민 의원은 "해킹 피해 기업들 모두 ISMS나 ISMS-P 인증을 받은 곳이었다"면서 "국민들은 정부 인증을 신뢰하고 그 신뢰를 기반으로 기업 서비스를 이용하지만, 지금과 같은 현실과 동떨어진 인증 기준과 기업 자율에 맡겨진 형식적 검토만으로는 실제 보안수준을 높일 수 없다"고 주장했다.이어 "ISP 사업자의 경우 코어망 외부에서도 보안사고가 발생하고 있는 만큼 인증범위를 확대해야 한다"며 "형식적 서류심사·체크리스트 위주의 인증이 아니라 실제 해킹 위협 시나리오 기반으로 보안관리 체계를 전면 개편해야 한다"고 강조했다.앞서 KT는 무단 소액결제 범행에 활용된 것으로 추정되는 펨토셀 관리가 부실했다고 인정했다. 현재 문자 메시지(SMS) 등 모든 소액결제 인증 방식을 대상으로 피해를 파악 중이라고 밝혔다.김영섭 KT 대표는 전날(24일) 국회 과방위의 'KT·롯데카드 해킹 사태 청문회' 증인으로 출석해 "소액결제 사고 뒤 펨토셀 관리 실태를 보니 허점이 많고 관리가 부실했다"면서 "사고 이후 (불법 펨토셀이) 망에 붙지 못하게 조치했다"고 말했다. 또 이상휘 국민의힘 의원의 '펨토셀 설치·관리를 외주업체가 맡고 있느냐'는 질의에, 그는 "그렇다"고 답했다. '관리 부실이 사건을 초래한 원인'이라는 지적에도 "인정한다"고 했다.청문회에서 KT의 문제 서버 폐기 의혹도 제기됐다. 이에 과학기술정보통신부는 고의성이 확인되면 엄청 대처에 하겠다는 입장이다. 류제명 차관은 "서버 폐기나 신고 지연 등에 고의성이 있는지 파악하는 대로 필요시 경찰 수사 의뢰 등 강력히 조치하겠다"고 말했다.한편 과기정통부는 기업의 신고가 없이도 정부 민관합동조사단이 활동할 수 있도록 전문가 검증위원회 구성을 추진한다고 밝혔다.류 차관은 "정보통신망법상 기업 신고가 있어야 정부가 민관합동조사단 활동이 가능한 현재 상태를 고치기 위해 관련된 법령 개정 작업을 진행 중"이라며 "다만 당장 또 (KT 무단 소액결제 침해 등) 이런 사태가 발생할 수 있기 때문에 객관적인 전문가 검증위원회를 구성해서 (사고를) 인지하면 바로 검증위원회 판단을 구해서 직권조사를 할 수 있도록 최근에 통신3사한테 동의는 구했다"고 말했다.이어 그는 "검증위원회와 정보를 공유해서 직권조사가 필요하다고 판단되면 그 판단 결과를 무조건 통신사업자가 수행하도록 동의를 구했다"며 "경중을 따져서 전문가들과 상시적인 의견 교류를 할 것"이라고 설명했다.