컨텐츠로 건너뛰기
검색
연예스포츠

ISMS만으론 막지 못한 SKT 해킹⋯"고도화된 보안 규제 필요"

서울 / 18.6 °
ISMS·ISMS-P 보유했지만 서버 털린 SKT
전문가들 "ISMS는 최소한의 보안 기준"
영국, 통신사 대상 법적 보안 의무 명시
EU는 통신·클라우드 '필수기관'으로 분류
과기정통부 "제도 실효성 높이도록 하겠다"


SK텔레콤의 대규모 해킹 사고로 국내 정보보호 인증 제도의 실효성이 도마 위에 올랐다. SKT가 '정보보호 관리체계 인증(ISMS)'과 '정보보호 및 개인정보보호 관리체계 인증(ISMS-P)'을 취득했음에도 사이버 공격에 취약했기 때문이다. 이에 업계 전문가들은 이동통신사 등 국가 인프라를 다루는 기업엔 별도의 고도화된 보안 규제가 필요하다고 지적했다.

10일 관련 업계에 따르면, 현재 SKT는 ISMS 2개와 ISMS-P 1개를 보유하고 있다. 이훈기 더불어민주당 의원이 과학기술정보통신부로부터 받은 자료에서 SKT는 지난해 '이동전화 고객관리 서비스'에 대한 ISMS-P 최초심사와 'T 전화·누구(NUGU) 서비스 운영'에 대한 ISMS 사후심사를 거쳤다. 같은 해 7월에는 '이동통신서비스 인프라 운용'에 대한 ISMS 갱신 심사도 받았다.

8일 국회 과학기술정보방송통신위원회 전체회의에서 열린 SK텔레콤 유심 해킹 사건 청문회에서 유영상 SK텔레콤 대표이사가 의원 질의에 답하고 있다. 2025.5.8 pdj6635@yna.co.kr/2025-05-08 15:19:21/<저작권자 ⓒ 1980-2025 ㈜연합뉴스. 무단 전재 재배포 금지, AI 학습 및 활용 금지>

8일 국회 과학기술정보방송통신위원회 전체회의에서 열린 SK텔레콤 유심 해킹 사건 청문회에서 유영상 SK텔레콤 대표이사가 의원 질의에 답하고 있다. 2025.5.8 pdj6635@yna.co.kr/2025-05-08 15:19:21/<저작권자 ⓒ 1980-2025 ㈜연합뉴스. 무단 전재 재배포 금지, AI 학습 및 활용 금지>


ISMS는 기업이나 기관이 해킹, 내부자 유출, 시스템 장애 등 정보보호 위협에 잘 대비하고 있는지 평가하는 인증제도다. 위험 관리, 사고 예방 및 대응, 재해 복구 등 80개 항목을 이행해야 한다. 여기에 개인정보보호 기준 21개를 추가한 ISMS-P는 총 101개 항목으로 구성된다. 개인정보 수집·이용 동의 절차나, 민감정보·고유식별정보 처리 여부, 개인정보 파기 및 제3자 제공 등의 관리 절차 등이 포함된다.

해당 인증은 과학기술정보통신부와 개인정보보호위원회가 관리한다. 한국인터넷진흥원(KISA)과 금융보안원(FSI)을 인증기관으로 두고 있다.

ISMS 인증을 의무적으로 받아야 하는 기업은 인터넷 서비스 제공자(ISP)와 인터넷데이터센터(IDC)를 운영하는 사업자다. 정보통신서비스 부문 전년도 매출액이 100억 원 이상이거나, 전년도 일일 평균 정보통신서비스 이용자 수가 100만 명 이상인 사업자도 해당한다.

그러나 전문가들은 ISMS·ISMS-P가 최소한의 정보보호 기준에 불과하다고 설명한다. 통신사나 플랫폼처럼 대규모 개인정보를 다루는 기업에는 별도의 고도화된 규제가 필요하다는 지적이다. 김승주 고려대 정보보호대학원 교수는 과방위 청문회에서 "ISMS 인증은 기업이나 기관이 최소한의 보안 요구 조건을 지켰느냐 그것을 확인하는 것"이라며 "이외에는 기업들이 자기가 보유하고 있는 자산의 가치에 따라 추가적인(플러스알파) 요소를 더 해야 한다"고 설명했다.



실제로 영국은 통신사의 법적 보안 의무를 명시한 '통신 보안법'을 제정했다. 이 법은 통신사를 국가기반시설로 간주하고, △위협 감지 및 대응 시스템 구축 △데이터 보호 및 안전한 처리 등을 의무화하고 있다. 법 위반 시, 최대 연 매출의 10%에 달하는 과징금이 부과되기도 한다.

유럽연합(EU)은 '네트워크 및 정보보안 지침(NIS2 Directive)'을 두고 있다. 해당 지침은 통신사, 클라우드 컴퓨팅 사업자, 콘텐츠 전송 네트워크 운영자 등을 국가 인프라에 중대한 영향을 미치는 '필수기관'으로 분류한다. 이들은 △24시간 이내 사고 보고 △사이버보안 위험 관리 조치 △경영진의 책임 명확화 등을 이행해야 한다. 이를 위반할 경우 최대 연간 매출의 2% 또는 1,000만 유로에 달하는 벌금이 부과될 수 있다.

우리나라에서도 이 같은 제도가 필요하다는 목소리가 제기되고 있다. 김 교수는 "(이러한 법안들이) 우리나라에서도 필요하다고 본다"며 "법의 문제도 있지만, 거버넌스 체계를 어떻게 수립하느냐도 중요하다. 국가기간통신망을 사용하기 때문에 이용자 보호는 철저히 되어야 하는 동시에, 이익을 가져가는 만큼 사회적 기회도 주어져야 한다"고 제언했다.


이에 과기정통부는 제도 실효성을 높이는 방안을 마련하겠다고 했다. 유상임 장관은 "적극적으로 (정보보안 체계) 감독의 의미를 강화하겠다"고 했다. 강도현 차관도 "사실 (ISMS 제도가) 서면심사를 중심으로 돼 있는데, 여기에 현장실사와 모의해킹형 훈련까지도 포함하는 방법을 검토 중이다"라고 말했다.

[이투데이/이은주 기자 (letswin@etoday.co.kr)]

▶프리미엄 경제신문 이투데이 ▶비즈엔터

이투데이(www.etoday.co.kr), 무단전재 및 수집, 재배포금지

info icon이 기사의 카테고리는 언론사의 분류를 따릅니다.