LG유플러스, 평균 3개월 내외인 갱신심사에 7개월 소요
해킹조사 결과 발표까지 '보류' 불가피
공공사업 경쟁력↓…공백기 1년 넘을수도
이미 갱신한 SKT·KT도 사후심사 대상
 |
LGU+ 해킹, 공공사업 발목 잡나/그래픽=김지영 |
LG유플러스를 포함해 통신 3사의 공공사업 수주에 해킹 사태 여파가 영향을 줄 것이라는 우려가 나온다. ISMS-P(정보보호 및 개인정보보호 관리체계 인증)가 공공·금융·클라우드 사업 참여의 핵심 요건인데, 당장 LG유플러스의 경우 ISMS-P 갱신이 장기간 지연되고 있는데다 아직 유효기간이 남은 통신사들도 사후심사라는 허들을 넘어야해서다.
━
3개월이 보통인 갱신심사에 7개월 소요…추가 보류 불가피
━
21일 개인정보보호위원회에 따르면 LG유플러스의 ISMS-P는 지난달 27일부로 유효기간이 만료됐다. ISMS-P는 기업의 정보자산과 개인정보 관리체계가 정부 기준에 부합하는지를 인증하는 제도로, 한국인터넷진흥원(KISA)이 심사·발급하고 개인정보위가 관리한다. 유효기간은 3년. 만료 전 갱신심사를 거쳐야 연장된다.
LG유플러스가 지난해 7월 신청한 갱신심사는 아직 결론이 나지 않았다. 통상 3개월 안팎이면 끝나는 갱신심사에 벌써 7개월이 소요됐다. 유효기간이 지난 뒤까지 심사가 보류되는 사례는 이례적이다.
배경에는 지난해 발생한 해킹 사태가 있다. LG유플러스는 내부 서버 접근제어 시스템(APPM) 해킹으로 서버 8938대, 계정 4만2256개, 직원 167명의 정보가 유출됐다는 의혹을 받고 있다. 현재 개인정보위가 조사를 진행 중이다.
LG유플러스가 지난해 7월 신청한 갱신심사는 아직 결론이 나지 않았다. 통상 3개월 안팎이면 끝나는 갱신심사에 벌써 7개월이 소요됐다. 유효기간이 지난 뒤까지 심사가 보류되는 사례는 이례적이다.
배경에는 지난해 발생한 해킹 사태가 있다. LG유플러스는 내부 서버 접근제어 시스템(APPM) 해킹으로 서버 8938대, 계정 4만2256개, 직원 167명의 정보가 유출됐다는 의혹을 받고 있다. 현재 개인정보위가 조사를 진행 중이다.
개인정보위는 조사 결과가 나올 때까지 갱신심사를 보류한다는 입장이다. 갱신 심사 항목 상당수가 이번 해킹 조사 대상과 겹치기 때문이다. 조사 결과와 인증 결과가 엇갈릴 경우 혼란이 생길 수 있다는 판단으로 해석된다.
현행 KISA 규정상 갱신심사 결과가 나올 때까지는 만료된 인증도 유효한 것으로 간주된다. 다만 해킹 조사 결과 발표 시점이 불투명해, LG유플러스는 상당 기간 불확실성을 떠안게 됐다.
 |
지난달 7일 서울 시내 한 LG 유플러스 매장의 모습. /사진=뉴스1 |
━
과태료·공공사업 경쟁력 약화…1년간 재신청 못할수도
━
SK텔레콤과 KT는 해킹 사태 발생 전 ISMS-P 인증을 갱신해 각각 2027년 2월, 2028년 11월까지 유효기간이 연장됐다. 다만 수시로 진행되는 사후심사로 취소될 가능성은 있다. 개인정보위는 현재 SKT와 KT를 대상으로 서면심사 중이며, 내달 중 현장 특별점검을 실시해 미비점을 확인할 계획이다.
업계는 최악의 경우 공공사업 경쟁력 약화로 이어질 수 있다고 본다. 통신사는 법적으로 ISMS 취득이 의무다. ISMS-P를 보유하면 ISMS를 취득한 것으로 인정된다. 만약 갱신이 실패하면 이듬해 8월까지 다시 인증을 받아야 한다. 미취득 시 3000만원 이하의 과태료가 부과된다.
ISMS-P는 클라우드 사업, 행정망 사업, 전파인증, 공공 SI 사업 입찰에서 필수 또는 우대 요건으로 제시되는 경우가 많다. 일부 사업은 아예 'ISMS-P 인증 보유 기업'만 입찰 자격을 주기도 한다. 통신업계에서 ISMS-P가 사실상 필수 자격증으로 불리는 이유다.
재취득도 쉽지 않다. ISMS-P 신규 취득에는 통상 3~4개월이 걸린다. 업계에서는 갱신 심사에서 탈락할 경우, 해킹 조사 결과에서 지적된 사항을 보완하라는 이유로 즉시 재인증이 어려울 가능성이 크다고 본다. 여기에 개인정보위가 추진 중인 ISMS-P 제도 강화안도 변수다. 추진안에 따르면 인증이 취소된 기업은 1년간 재신청이 불가능하다. 만약 이 제도가 시행된 뒤 갱신 심사에서 탈락하면 통신사들은 장기간 ISMS-P 공백기를 겪을 수 있다.
이는 통신 3사만 참여할 수 있는 공공사업의 경우 장기간 멈출 수도 있다는 얘기다. 업계 관계자는 "특정 지역에 통합망을 구축하면서 전용회선이나 인터넷 회선을 구축하는 통합망 구축 사업이 대표적이다. 이통 3사가 모두 ISMS-P가 취소될 경우 이 사업은 제동이 걸릴 수 있다"고 설명했다.
LG유플러스 관계자는 "내부적으로도 중요하게 보고 있는 사안"이라며 "현재 조사와 수사가 진행 중인 사안인 만큼 결과를 지켜보고 있다. 갱신, 재취득을 위해 노력하겠다"고 말했다.
이찬종 기자 coldbell@mt.co.kr
Copyright ⓒ 머니투데이 & mt.co.kr. 무단 전재 및 재배포, AI학습 이용 금지.
이 기사의 카테고리는 언론사의 분류를 따릅니다.