입법조사처 “이동통신사 정보보호 '최소 투자 비율' 명시해야”

국회 입법조사처, SKT 해킹사고에 '제도 손질' 촉구
ISMS 인증 보유에도 해킹 피해…제도 실효성 제고해야
HSS 서버, 주요정보통신기반시설 지정에서 빠져 있어
“반복된 해킹 사고 예방 위해 제도 보완이 필수”

▲SKT 유심 해킹 사고와 관련해 전국 T월드 매장에서 희망 고객을 대상으로 무상 유심 교체 실시 첫 날인 28일 서울 시내의 한 SKT 대리점에서 가입자들이 유심 교체 서비스를 받기 위해 대기하고 있다. SKT는 유심 무상 교체 실시 첫날 가입자 몰림 현상으로 인한 불편을 예상해 대기 시간 없이 유심을 교체할 수 있도록 온라인 예약 시스템(care.tworld.co.kr)을 운영한다. 조현호 기자 hyunho@

SK텔레콤의 해킹 사고를 계기로, 국회입법조사처가 이동통신사의 보안 체계를 전면 손질해야 한다고 제언했다. 정보통신망법에 정보보호 예산의 ‘최소 투자 비율’을 명문화하고, 정보보호관리체계(ISMS)의 실효성을 높이는 등 제도적 장치 강화가 필요하다는 지적이다.

21일 입법조사처는 '이동통신사 해킹 사전 예방을 위한 정보보호 강화 방안' 보고서를 통해 이같이 밝혔다. 입법조사처는 "이번 SKT 해킹은 국내 이동통신사 역사상 최악의 보안사고"라며 "반복적으로 발생하는 이동통신사 해킹 사고를 예방하기 위해선 제도적 보완이 필수적"이라고 했다.

입법조사처는 △정보보호 투자 미흡 △인증제도의 실효성 부족 △주요정보통신기반시설 지정 누락 등 세 가지 문제를 지적했다.

특히 입법조사처는 SKT의 정보보호 투자가 미흡했다고 지적했다. 보고서는 "(2023년 LG유플러스 해킹 당시) 정부는 LG유플러스에 정보보호 강화에 필요한 예산 규모를 타 이동통신사와 대등한 수준 이상으로 확대하되, 한시적인 투자 확대가 아닌 장기 계획에 따른 보완 투자가 진행될 수 있도록 요구한 바 있다"고 지적했다. 이어 "하지만 SKT는 이러한 선례를 교훈으로 삼지 못하고 정보보호 투자에 소극적인 태도를 보였다"고 했다.

또한, 입법조사처는 SKT가 ISMS 및 ISMS-P 인증을 모두 보유하고 있었으나 인증 범위에 포함된 서버가 뚫렸다고 비판했다. 보고서는 "2014년 KT 해킹 사고 당시에도 해당 인증제도가 유명무실하다는 비판이 제기됐고, 2023년 LG유플러스 해킹 사고 당시에는 개인정보 유출에도 해당 기업의 인증이 취소되지 않고 유지되는 것에 대한 문제가 나왔다"며 "이번 SKT 해킹 사태에서도 인증 기준상 요구되는 절차가 실제 현장에선 제대로 작동하지 않았으며 큰 비용과 시간을 들여 유지한 인증 체계가 정작 해킹 방어와 초기 대응 실패로 이어졌다"고 꼬집었다.

그러면서 입법조사처는 해킹된 홈 가입자 서버(HSS)가 주요 정보통신기반시설로 지정되지 않았다며 미흡한 관리 체계를 지적했다.

이에 입법조사처는 법제도 개선 과제를 제안했다. 먼저, 정보통신망법을 개정해 이동통신사의 정보보호 예산이 정보기술 부문 예산의 일정비율 이상이 되도록 해야 한다고 했다.

실제로 금융위원회는 과거 전자금융감독규정에서 정보보호 예산을 정보기술예산의 7% 이상 확보하도록 권고한 바 있다. 입법조사처는 "SKT 해킹 사고를 통해 자율보안의 한계가 드러난 만큼, 정보통신망법에 최소 투자 비율을 명시하는 방식으로 제도적 뒷받침이 필요하다"고 강조했다.

두 번째 과제로는 ISMS 인증의 실효성 제고가 제시됐다. 보고서는 "고위험 산업군인 이동통신사에 대해선 더욱 엄격한 인증 기준을 적용할 수 있도록 정보통신망법 개정이 필요하다"고 했다. 또한, 중대한 위법 행위가 발생한 경우에는 인증을 취소할 수 있도록 법적 근거를 마련해야 한다고 제안했다. 현재 개인정보보호법에는 해당 조항이 존재하지만, 정보통신망법에는 빠져 있어 법적 사각지대가 발생하고 있다는 설명이다.

끝으로, 입법조사처는 주요정보통신기반시설 지정 범위와 절차를 개선할 필요가 있다고 지적했다. 현행 제도는 통신사가 지정대상을 자율적으로 선정하고, 정부가 이를 사후 검토하는 방식이다. 이에 입법조사처는 정부의 지정 타당성 검토와 전문가 협의회 심의를 의무화해야 한다고 제안했다.