이훈기 의원 "통신 사업자에 강화된 인증 기준 적용하고 사후 관리해야"
정보보호 관리체계 인증 기업 침해사고 2020년 0건→2023년 101건
개보위 "인증·심사 시 해킹 취약점 확인했는지 파악 중"
정보보호 관리체계 인증 기업 침해사고 2020년 0건→2023년 101건
개보위 "인증·심사 시 해킹 취약점 확인했는지 파악 중"
SKT 유심 해킹에 소비자는 근심
(서울=연합뉴스) 임화영 기자 = SK텔레콤이 가입자 유심(USIM) 정보 유출 사태로 오는 5일부터 신규 가입자 모집을 중단한다고 밝힌 2일 서울 시내의 한 SK텔레콤 대리점 앞에서 한 소비자가 유심 재고 소진 및 유심보호서비스 관련 안내문을 살펴보고 있다. 2025.5.2 [email protected]
(서울=연합뉴스) 임화영 기자 = SK텔레콤이 가입자 유심(USIM) 정보 유출 사태로 오는 5일부터 신규 가입자 모집을 중단한다고 밝힌 2일 서울 시내의 한 SK텔레콤 대리점 앞에서 한 소비자가 유심 재고 소진 및 유심보호서비스 관련 안내문을 살펴보고 있다. 2025.5.2 [email protected]
(서울=연합뉴스) 이상서 기자 = '유심 정보 해킹' 사태를 빚은 SK텔레콤이 약 6개월 전까지만 해도 정부의 정보보호 관리체계 인증 심사를 잇달아 통과한 것으로 나타났다.
정부 점검이 형식적으로 이뤄진 것 아니냐는 지적과 함께 강화된 인증 기준을 적용할 필요가 있다는 지적이 나온다.
6일 더불어민주당 이훈기 의원이 과학기술정보통신부로부터 받은 자료에 따르면 현재 SKT가 보유한 정부의 정보보호 인증은 ISMS(정보보호 관리체계 인증) 2개와 ISMS-P(정보보호 및 개인정보보호 관리체계 인증) 1개 등 모두 3개다.
ISMS 인증은 정보자산을 안전하게 관리하기 위한 위험 관리, 사고 예방 및 대응, 복구 등 80개 기준을 통과한 기업에 부여한다.
의무 대상은 주요 정보통신서비스 제공자나 정보통신서비스 매출액 100억원 이상 또는 일평균 이용자 수 100만명 이상인 경우 등이다.
ISMS-P 인증은 ISMS 인증에 개인정보보호 요구사항 21개가 추가된 101개 기준을 통과한 기업에 부여한다.
두 인증 체계 모두 개인정보보호위원회와 과기정통부가 관리한다.
최초심사를 통해 관련 인증을 취득하면 3년의 유효기간이 부여된다. 앞서 받은 인증 범위에 중대한 변경이 있어 다시 인증을 신청할 때도 최초심사를 받아야 한다.
이후 사후심사를 매년 1회 이상 거쳐야 하고, 인증 기간이 만료돼 유효기간을 연장하려면 갱신심사를 치러야 한다.
제출 자료를 보면 SKT는 지난해 9월 23일부터 10월 1일까지 '이동전화 고객관리 서비스'에 대한 ISMS-P 최초심사와 'T 전화·누구(NUGU) 서비스 운영'에 대한 ISMS 사후심사를 받았다.
같은 해 7월에는 '이동통신서비스 인프라 운용'에 대한 ISMS 갱신심사를 거쳤다.
이에 따라 세 인증의 유효 기간은 2027년까지로 연장됐다.
이처럼 정부의 각종 보안 인증 심사를 받은 지 불과 6개월 후인 지난 4월에 SKT 해킹 사태가 벌어진 것을 두고 관련 제도의 실효성이 떨어진다는 지적이 나온다.
이 의원은 "정부의 정보보호 인증 제도가 기업의 보안 역량을 제대로 평가하지 못하고 사후 관리도 제대로 안 된다는 점이 SKT 해킹 사태로 드러났다"며 "통신·금융 등 국가 핵심 기반 사업자에 대해서는 강화된 인증 기준을 적용하고 철저한 사후 관리가 이뤄질 수 있도록 제도를 개선해야 한다"고 강조했다.
SKT '유심 교체 못 한 출국자, 피해 생기면 책임지고 보상'
(영종도=연합뉴스) 김도훈 기자 = 4일 인천국제공항 제1여객터미널 출국장에 마련된 SK텔레콤 로밍센터에서 출국자들이 유심 교체를 위해 줄을 서고 있다.
지난 3일 SK텔레콤은 비정상 인증 시도 차단(FDS) 시스템이 가동되고 있기에 유심을 교체하지 않고 출국했다고 정보가 털리는 것은 아니라며 유심을 교체하지 못하고 출국했다가 유심 정보 유출에 따른 피해를 볼 경우 책임지고 처리할 것이라고 밝혔다. 2025.5.4 [email protected]
(영종도=연합뉴스) 김도훈 기자 = 4일 인천국제공항 제1여객터미널 출국장에 마련된 SK텔레콤 로밍센터에서 출국자들이 유심 교체를 위해 줄을 서고 있다.
지난 3일 SK텔레콤은 비정상 인증 시도 차단(FDS) 시스템이 가동되고 있기에 유심을 교체하지 않고 출국했다고 정보가 털리는 것은 아니라며 유심을 교체하지 못하고 출국했다가 유심 정보 유출에 따른 피해를 볼 경우 책임지고 처리할 것이라고 밝혔다. 2025.5.4 [email protected]
실제로 ISMS 인증기업이 신고한 침해사고 건수는 2020년 0건에서 2021년 6건, 2022년 13건, 2023년 101건으로 불어났다.
2024년에도 96건, 올해의 경우 지난달 28일까지 37건의 침해 신고가 들어왔다.
전문가들도 인증 심사 시스템이 제대로 작동되고 있는지 확인할 필요가 있다고 입을 모은다.
염흥열 순천향대 정보보호학과 교수는 "의무적으로 심사받는 기업에는 강화된 인증 기준을 적용하고 해킹에 대비한 '펜 테스트'(침투 시험)를 보강해야 한다"며 "기업도 인증받은 이후에 허점을 발견하면 적극적으로 개선하고 보호 대책 수립에 나서야 한다"고 말했다.
개인정보위 관계자는 "당시 SKT 점검에서 해킹 취약점에 대해 제대로 확인했는지를 검토하고 있다"며 "인증·심사한 기관에 자료를 요청했고, 관련 내용도 파악 중"이라고 전했다.
[email protected]
