서울 중구 SK텔레콤 본사./뉴스1
SK텔레콤이 최근 발생한 유심 정보 유출 사태 불과 6개월 전 정부의 정보보호 인증 심사를 연달아 통과한 것으로 확인되면서, 현행 인증 제도의 실효성에 대한 비판이 제기되고 있다.
6일 더불어민주당 이훈기 의원이 과학기술정보통신부로부터 제출받은 자료에 따르면, SKT는 현재 정보보호 관리체계 인증(ISMS) 2개와 정보보호 및 개인정보보호 관리체계 인증(ISMS-P) 1개 등 총 3개의 인증을 보유하고 있다. 이 인증들은 정보보호와 개인정보보호 기준 80~101개 항목을 통과한 기업에 주어지며, 최초심사 이후 매년 사후심사, 3년마다 갱신심사를 받아야 한다.
SKT는 지난해 9월 말부터 10월 초 사이 ISMS-P 최초심사와 ISMS 사후심사를 통과했으며, 같은 해 7월에는 ISMS 갱신심사도 완료해 유효기간을 2027년까지 연장했다. 그러나 이러한 인증 심사를 마친 지 6개월여 만에 대규모 유심 정보 해킹 사태가 발생하면서, 실제 보안 역량을 제대로 평가했는지에 대한 우려가 커지고 있다.
이 의원은 “SKT 사례는 인증 제도가 실질적인 보안 능력을 검증하지 못한 채 형식적으로 운영되고 있음을 보여준다”며 “통신이나 금융 등 국가 핵심 기반 사업자에 대해선 더욱 엄격한 기준과 사후 관리가 필요하다”고 지적했다.
실제로 ISMS 인증 기업들의 침해사고 건수는 급증하고 있다. 2020년 0건이었던 신고 건수는 2021년 6건, 2022년 13건, 2023년 101건으로 늘었고, 올해도 4월 말까지 37건이 보고됐다.
