[디지털투데이 백연식 기자] 최근 비대면 가입 인증을 위주로 하는 일부 알뜰폰(MVNO) 업체들에서 개인정보 유출 사고가 터져 나오면서 정부가 이용자 보호 차원에서 모든 알뜰폰 사업자 대상으로 ISMS(Information Security Management System, 정보보호 관리체계) 의무화를 추진한다.
이와 함께 CISO(Chief Information Security Officer, 최고정보보호책임자) 지정·신고 의무화 및 기간통신사업자 등록 시 ISMS인증·CISO 신고계획 제출 의무화도 도입한다.
24일 과학기술정보통신부 및 이동통신업계에 따르면 정부는 이같은 내용을 골자로 한 '알뜰폰 신뢰제고방안'(가칭)을 조만간 공개할 예정이다. 정부는 알뜰폰 신뢰제고방안에 대한 중요 내용을 지난 20일 오전 송파구 가락동에 위치한 한국인터넷진흥원(이하 KISA) 3층 대강당에서 업계에 공유한 것으로 전해졌다.
현행 법상 가입자 100만 이상 또는 관련 연매출 100억원 이상 기업은 의무적으로 ISMS 인증을 받아야 한다. 하지만 과기정통부는 통신분야에 한정해 관련 연매출 50억원 이상 기업도 ISMS를 받게 하는 방안을 추진한다. 연매출 50억원 미만 기업의 경우 ISMS 간편 심사를 받도록 해 모든 알뜰폰 사업자가 ISMS를 받도록 한다는 방침이다.
또 SK텔레콤, KT, LG유플러스 등 이동통신사들이 해킹 관련 2차 방어선을 구축해 보다 안전하게 알뜰폰 가입이 이뤄질 수 있도록 했다. 알뜰폰은 단말기와 알뜰폰 통신사 유심(USIM)을 소유하고 있으면 온라인을 통해 언제 어디서나 셀프로 개통할 수 있다.
기본적으로 알뜰폰은 온라인 사이트를 통해 셀프로 개통할 때는 1단계에서 실명 확인을 하고, 2단계에서는 본인인증 과정을 거친다. 2단계 본인인증은 일반적으로 여러 사이트에서도 비슷하게 사용되는 것처럼 스마트폰을 이용한 본인 확인이다. 해커는 이 같은 특징을 악용해 2단계 '간편 본인 인증' 과정에서 타인의 정보를 갈취해 인증 요청자가 아닌 제3자의 인증을 획득하고, 타인 명의의 스마트폰을 개통해 보이스피싱에 악용하고 있는 사례가 최근 발견돼 정부가 대책 마련에 나선 것이라고 보면 된다.
그동안 정부와 KISA는 알뜰폰 업계의 취약점을 점검한 것으로 파악됐다. 기술적 취약점(홈페이지/모바일앱/인프라) 점검 결과 서비스의 중요도에 비해 서비스, 인프라의 보안수준 미흡한 것으로 나타났다. 관리적 취약점(정보보호정책/조직/자원/위험관리/물리보안)을 점검 결과 ISMS 미인증기업의 경우 정보보호에 대한 인식 및 관리가 미흡한 것으로 조사됐다. 정부는 보안 미흡업체에 대한 행정처분을 내리기로 결론 냈다. 점검 과정에서 취약점이 발견된 업체에는 문제점을 보완하도록 시정명령 처분을 내리고, 보안조치를 성실히 이행치 않아 부정개통 사고 발생 시 전기통신사업법 등에 따라 사업정지 등 행정처분을 실시하기로 했다.
알뜰폰은 기존 이동통신 3사와 품질은 거의 비슷하지만 비용 측면에서 합리적, 경제적인 장점이 있다. 이러한 인기를 바탕으로 최근 국내 알뜰폰 요금제를 사용하는 이용자 회선 수(이동통신)가 900만개를 돌파했다. 완성차 등 사물인터넷(IoT)을 포함할 경우 1500만명을 넘어선 지는 오래다.
알뜰폰 시장이 빠르게 성장하면서 다양한 업체들이 알뜰폰 사업을 시작하게 됐고, 진입 장벽이 낮다보니 영세한 업체들 중심으로 보이스피싱 등 이용자 보호 문제로 지적되는 사고가 최근 끊이질 않았다. 알뜰폰의 장점은 무엇보다 저렴한 요금제인데, 비용 절감을 위해 보안이나 개인정보 보호에 소홀할 수도 있어 정부가 모든 알뜰폰 사업자 ISMS 사실상 의무화 등 규제 조치에 나선 것으로 풀이된다.
과기정통부는 지난해 말에도 해킹된 알뜰폰 업체 등에게 함구령을 내리고 경찰과 알뜰폰 업체, 인증 기관 등과 함께 회의하면서 이때 영업 사이트 43곳에 대해 보완 조치를 지시한 바 있다.
<저작권자 Copyright ⓒ 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지>
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.