KT 해킹 사태의 원인으로 지목된 불법 초소형 기지국(펨토셀)이 정부의 정보보호 인증 범위에서 누락돼 보안 사각지대였던 것으로 확인됐다.
25일 국회 과학기술정보방송통신위원회 소속 조국혁신당 이해민 의원실이 한국인터넷진흥원(KISA)으로부터 제출받은 정보보호관리체계(ISMS)-P 인증제도 안내서에 따르면, 펨토셀은 ISMS-P 인증 범위에서 빠져있는 것으로 나타났다.
ISMS-P는 개인정보보호위원회가 주관하는 개인정보보호 관리체계(ISMS-P)로 KISA가 관리·감독을 맡고 있다.
안내서는 ISP(정보통신망서비스제공자)의 ISMS-P의 인증범위는 정보제공자(IP) 기반의 인터넷 연결을 위한 정보통신설비나 관련 서비스를 제공하기 위한 정보통신설비로 규정했다. 이 정의에 따르면 펨토셀과 무선기지국도 인증 범위에 포함되지만, 실제 인증 심사에서는 누락된 것이다.
이와 관련해 KISA 측은 "ISMS-P 인증은 인력과 예산의 한계로 코어망 중심으로만 진행되고 있다"며 "무선기지국은 중앙전파관리소가 관리하기 때문에 범위에 포함하지 않는다"고 설명했다.
그러나 이 의원실에 따르면, 중앙전파관리소와 한국방송통신전파진흥원이 실시하는 무선기지국 검사는 장비의 성능과 전파의 혼섭이나 간섭 여부만 확인하고 보안성 검증을 하지 않는다.
결국 무선 기지국과 펨토셀이 보안 사각지대로 남아 해킹 사고가 반복된다는 것이다.
이 의원은 "해킹 피해를 본 기업은 ISMS나 ISMS-P 인증을 받은 곳"이라며 "국민은 정부 인증을 신뢰하고 기업 서비스를 이용하지만, 현실과 동떨어진 인증 기준과 기업 자율에 맡긴 형식적 검토만으로 보안 수준을 높일 수 없다"고 지적했다.
이어 "ISP 사업자의 경우 코어망 외부에서도 보안 사고가 발생하는 만큼 인증 범위를 확대해야 한다"며 "형식적인 서류심사나 체크리스트 위주의 인증이 아니라 실제 해킹 위협 시나리오를 토대로 보안관리 체계를 개편해야 한다"고 강조했다.