[일문일답] "알뜰폰社 정보보안, 당연히 해야할 기초적인 의무"

'대포폰의 온상' 알뜰폰…타인명의 부정 개통 등 소비자 피해 발생

尹정부, 알뜰폰 정보보안 강화 유도…ISMS 인증·CISO 지정 '의무화'

[아이뉴스24 안세준 기자] 정부가 알뜰폰사업자들이 의무적으로 정보보호관리체계(ISMS) 인증을 받고 정보보호최고책임자(CISO) 지정·신고하도록 제도를 개선한다. 온라인(비대면) 개통이 주력인 알뜰폰은 '대포폰의 온상'이라는 수식어가 붙어 다닐 정도로 정보보안에 취약했다. 이를 개선하겠다는 것이다.

27일 오전 김연진 과학기술정보통신부 정보보호기획과장이 알뜰폰 비대면 부정가입 방지 관련 종합 대책을 발표하고 있다.

27일 오전 과학기술정보통신부는 백브리핑을 열고 알뜰폰 비대면 부정가입 방지에 대한 종합 대책을 추진한다고 밝혔다. ISMS 인증과 CISO 지정 신고, 알뜰폰사업자 등록 시 ISMS 인증계획·CISO 신고계획 제출을 의무화하기로 했다. 알뜰폰과 이통사 시스템을 연계해 이통사에서 가입 신청자를 확인할 수 있도록 하는 조치도 더했다.

그러나 ISMS 인증은 사업자 입장에선 '돈이 드는 작업'이다. 인증 비용은 물론 ISMS 인증을 위한 컨설팅 비용 등이 추가될 수 있다. 알뜰폰 신뢰도에 긍정적일 것이라는 견해와 비용적 부담이 더 커졌다는 주장이 동시 제기되는 배경이다. 관련해 정부는 "알뜰폰 기업들의 고객 정보보안은 당연히 해야할 기초적인 의무"라고 강조했다.

이 자리에서 김연진 과기정통부 정보보호기획과장은 "(사업자 입장에선) 비용 부담이 될 수도 있다"면서도 "정보 보안이라는 것은 정보통신서비스 기업이라면 당연히 해야 하는 기초적인 의무라고 생각된다. 국민의 피해를 방지하기 위해서도 알뜰폰사가 정보보호, 보안 강화에 힘써야 되는 부담이 있는 것"이라고 설명했다.

다음은 김연진 과기정통부 정보보호기획과장, 최광기 사이버침해대응과장과의 일문일답이다.

Q> 알뜰폰 시스템과 이통사 시스템간 연계, 구체적으로 어떤 식으로 진행되나.

A> (김연진 과장) 알뜰폰사업자들은 이통사 망을 임대해 사업하고 있다. 사업 구조상 비대면 개통 과정에서 이통사에 개통을 요청해야 된다. 이통사가 최종적으로 알뜰폰을 개통하기 전에 직접 본인 확인을 한 번 더 하도록 시스템을 연동해 구현하도록 했다.

Q> ISMS를 이미 받고 있는 사업자가 있지 않나. 현재 받고 있는 사업자는 누구인지. 법령 개정을 할 텐데 어떤 식으로 진행되는 건지.

A> (최광기 과장) 전체 알뜰폰 업체(80여 개) 중에서 ISMS 인증을 받고 있는 업체는 약 22개 정도다.

A> (김 과장) 모든 알뜰폰 사업자가 ISMS 인증을 받고 있는 것은 아니다. 일부 업체가 ISMS 인증을 받고 있다. 전체 알뜰폰 업체의 보안 강화를 위해 제도 개선을 추진해 정보보호관리체계 인증을 받도록 개선할 예정이다.

시행령을 개정해 전체 알뜰폰 업체가 ISMS 인증을 받도록 제도를 개선할 예정이다.

Q> 인증체계 의무화에 따라 업체 입장에서는 비용이라든가 절차상 번거로움이 생길 수도 있을 것 같은데.

A> (김 과장) 인증을 받는 데 업계에 부담이 갈 수 있다. 비용 부담이나 절차적인 부담이 갈 수도 있다.

영세한 알뜰폰 업체의 부담을 경감시키기 위해 과기정통부는 소기업 같은 경우 간편인증을 적용받을 수 있도록 제도 개선을 추진 중이다. 알뜰폰 사업자 대상으로 ISMS 구축 운영 교육을 실시해 기업들이 ISMS 인증 진입에 대한 부담을 최소화하도록 저희도 같이 노력할 예정이다.

Q> ISMS 인증이 사실상 알뜰폰 진입 장벽으로 작용할 수도 있지 않나. 일부 알뜰폰에 대한 퇴출 작업으로 비춰질 수도 있을 것 같은데.

A> (김 과장) 비용 부담이 될 수 있지만 정보 보안이라는 것은 정보통신서비스 기업이라면 당연히 해야 하는 기초적인 의무라고 생각된다. 소비자 피해를 방지하기 위해, 국민의 피해를 방지하기 위해서도 알뜰폰사가 정보 보호, 보안 강화에 힘써야 되는 부담이 있다.

Q> 과기정통부가 전담반을 구성해 운영한 결과, 알뜰폰 업체들에서 어떤 취약점이 발견됐나. 취약점 발견된 업체 중 개선하지 않은 업체는 몇 곳이고, 어떤 행정처분이 내려지는지.

A> (김 과장) 점검 항목이 많이 있지만 그중에서도 서비스 측면 같은 경우에는 암호 알고리즘을 업데이트를 해야 되는데 암호 알고리즘을 업데이트하지 않은 업체가 일부 발견됐다. 인프라 측면에서는 서버 계정 관리가 미흡한 측면도 있었다. 관리적 측면에서도 정보보호 최고책임자 지정이 부실했던 게 확인됐다.

취약점 발견된 업체, 개선하지 않은 업체를 구체적으로 말씀드리기는 어렵다는 데 대해 양해 부탁드린다. 다만 취약점이 발견된 업체에 대해서는 보안을 강화하도록 시정명령한 바가 있다. 현재는 모든 알뜰폰 업체가 본인 확인 우회 취약점으로 인한 비대면 부정 개통이 발생하지 않은 것으로 확인이 되고 있다.

이동통신 3사 로고. [사진=각사사]

Q> 기존 이통사에 가입한 적이 없는 사람도 이통사에서 본인 확인이 가능한 건지 궁금하다.

A> (김 과장) 알뜰폰사는 이통사 망을 임대해서 사업을 영위하고 있다. 그래서 알뜰폰 사업 구조상 비대면 개통 과정에서 이통사에 개통을 요청을 해야지 되도록 되어 있다. 이통사가 최종적으로 개통 전에 직접 본인 확인임을 비교 검증하는 그런 검증 과정을 한 단계 더 거치도록 저희가 시스템을 연동해서 구현했다.

Q> 현재 사업을 영위하고 있는 알뜰폰 업체들이 정보보호 최고책임자를 지정 ·신고하지 않으면 알뜰폰 업체들에게 어떤 불이익이 가는지.

A> (김 과장) 현재도 알뜰폰 사업자들은 정보보호 최고책임자를 지정하도록 돼 있다. 저희는 제도를 개선해 지정한 CISO 정보보호 최고책임자를 신고하도록 제도를 개선할 예정이다. 지정을 안 했을 경우에는 과태료가 부과될 수가 있다.

Q> CISO 같은 경우에는 제대로 신고가 안 될 경우에 과태료 처분한다고 했다. ISMS 같은 경우에는 이 인증체계를 마련하지 못했을 때 어떤 행정처분 내려지나.

A> (김 과장) 전체 알뜰폰 업체를 대상으로 ISMS 인증을 받도록 제도 개선이 끝난 다음, 알뜰폰 업체가 ISMS 인증을 받지 않는 경우에는 (동일하게) 과태료 처분이 나갈 수 있다.

Q> 소기업은 간편인증을 하겠다고 했다. 소기업의 기준은 어떤 것인지? 소기업단은 간편인증을 하고 소기업 이상부터는 다 ISMS 인증을 무조건 받도록 하는 것인지?

A> (최 과장) 소기업 기준은 정보통신업 기준으로 했을 때, 매출액 50억 원 미만이다. 소기업의 경우 간편인증을 받을 수 있도록 정보통신망법 시행령을 개정 중이다. 7월 중 시행령이 개정될 것으로 보인다.

소기업 이상 기업은 현재 진행되고 있는 ISMS 인증을 받아야 한다고 보면 된다.

/안세준 기자(nocount-jun@inews24.com)

[ⓒ 아이뉴스24 무단전재 및 재배포 금지]