연합뉴스
KT 해킹 사태의 원인으로 지목된 불법 초소형 기지국(펨토셀)이 정부의 정보보호 인증 범위에서 누락돼 보안 사각지대였던 것으로 확인됐다.

25일 국회 과학기술정보방송통신위원회 소속 조국혁신당 이해민 의원실이 한국인터넷진흥원(KISA)으로부터 제출받은 정보보호관리체계(ISMS)-P 인증제도 안내서에 따르면, 펨토셀은 ISMS-P 인증 범위에서 빠져있는 것으로 나타났다.

ISMS-P는 개인정보보호위원회가 주관하는 개인정보보호 관리체계(ISMS-P)로 KISA가 관리·감독을 맡고 있다.

안내서는 ISP(정보통신망서비스제공자)의 ISMS-P의 인증범위는 정보제공자(IP) 기반의 인터넷 연결을 위한 정보통신설비나 관련 서비스를 제공하기 위한 정보통신설비로 규정했다. 이 정의에 따르면 펨토셀과 무선기지국도 인증 범위에 포함되지만, 실제 인증 심사에서는 누락된 것이다.

이와 관련해 KISA 측은 "ISMS-P 인증은 인력과 예산의 한계로 코어망 중심으로만 진행되고 있다"며 "무선기지국은 중앙전파관리소가 관리하기 때문에 범위에 포함하지 않는다"고 설명했다.

그러나 이 의원실에 따르면, 중앙전파관리소와 한국방송통신전파진흥원이 실시하는 무선기지국 검사는 장비의 성능과 전파의 혼섭이나 간섭 여부만 확인하고 보안성 검증을 하지 않는다.

결국 무선 기지국과 펨토셀이 보안 사각지대로 남아 해킹 사고가 반복된다는 것이다.

11일 서울 시내 한 휴대폰 판매점의 모습. 연합뉴스
이 의원은 "해킹 피해를 본 기업은 ISMS나 ISMS-P 인증을 받은 곳"이라며 "국민은 정부 인증을 신뢰하고 기업 서비스를 이용하지만, 현실과 동떨어진 인증 기준과 기업 자율에 맡긴 형식적 검토만으로 보안 수준을 높일 수 없다"고 지적했다.

이어 "ISP 사업자의 경우 코어망 외부에서도 보안 사고가 발생하는 만큼 인증 범위를 확대해야 한다"며 "형식적인 서류심사나 체크리스트 위주의 인증이 아니라 실제 해킹 위협 시나리오를 토대로 보안관리 체계를 개편해야 한다"고 강조했다.