정부 "통신사 해킹, 중대한 사고"…민관합동조사단 구성, 정밀 조사 착수
해외는 '독립 보안청' 상시 운영…국내도 제도적 전환 필요해
[서울=뉴스핌] 양태훈 기자 = 최근 연이어 발생한 이동통신사 해킹 사태가 국민 신뢰를 흔들고 있다. SK텔레콤의 유심 해킹, LG유플러스의 고객 정보 유출에 이어 이번에는 KT 고객을 대상으로 불법(미등록) 기지국을 통한 것으로 의심되는 소액결제 피해가 발생했다. 정부는 이번 사태를 '중대한 침해사고'로 규정하고 민관합동조사단을 구성해 정밀 조사를 진행 중이다. 하지만 전문가들은 사건의 본질이 개별 통신사 대응 미비를 넘어 보안 거버넌스의 구조적 공백에 있다고 지적한다.
11일 한국인터넷진흥원(KISA) 정보보호 공시 종합 포털에 따르면 SK텔레콤, KT, LG유플러스는 지난해 정보보호 투자(정보기술부문, 정보보호부문 합계)로 각각 2조 1,120억 원, 2조 1,054억 원, 1조 1,954억 원을 사용했다.
이중 사이버 위협, 해킹, 악성코드 등으로부터 시스템과 데이터를 보호하고, 침해 사고 시 대응 및 복구 체계를 마련하는데 사용되는 정보보호부문 투자는 각각 933억 원, 1,250억 원, 828억 원에 달한다. 기업이 보안에 얼마나 집중하고 있는지 파악할 수 있는 정보기술부문 투자액 대비 정보보호부문 투자액 비율은 각각 4.40%, 6.3%, 7.4%로 집계됐다.
 |
통신 3사는 SK텔레콤 유심 해킹 사고 이후, 정보보호 관련 투자 확대에 대한 필요성이 높아지자 별도의 간담회를 열고, 향후 5년간 각각 7,000억 원, 1조 원, 7,000억 원을 사용해 보안 시스템을 강화하고, 보안 인력도 확충하겠다는 계획을 밝힌 바 있다.
특히, KT는 지난 7월 브리핑을 열고 AI 기반 모니터링 강화, 글로벌 협업 확대, 제로트러스트 체계 보강, 보안 전문인력 확충 등 4대 전략을 중심으로 전사적 기술 역량을 총동원해 최고 수준의 보안 체계를 구축하겠다고 밝혔지만, 두달 만에 불법(미등록) 초소형 기지국의 통신망 접속에 의한 것으로 추정되는 무단 소액결제 피해 사고를 막지 못했다.
장항배 중앙대학교 산업보안학과 교수는 "(이번 KT 무단 소액결제 피해 사고는) 이제까지 없던 방식"이라며 "가상 기지국 이야기까지 나오는 걸 보니 정부 조사 결과를 지켜봐야 할 것 같다"고 우려를 전했다.
◆ 정부, 민관합동조사단 구성…KT 사고 원인 정밀 조사 착수
주무부처인 과학기술정보통신부(이하 과기정통부)는 KT 고객을 대상으로 발생한 이번 사고와 관련해 민·관 합동 조사단을 구성하고 정밀 조사에 착수했다. 정부는 불법 기지국의 망 접속 경위와 무단 결제 성립 과정, 개인정보 탈취 여부 등을 규명하는 한편, 통신 3사의 망 관리 실태를 전면 점검해 근본적인 대책을 마련한다는 방침이다.
또한, 이번 사고로 피해를 입은 고객들에 대한 결제요금 청구를 면제하는 등 이용자 보호조치를 철저히 하는 한편, 추가적인 피해가 발생하지 않도록 기업 차원의 모든 수단을 동원할 것을 촉구하였다.
류제명 과기정통부 2차관은 전날 정부서울청사에서 열린 브리핑에서 "미등록 불법 기지국이 어떻게 통신망에 접속했는지, 어떤 방식으로 무단 소액결제가 이뤄졌는지, 어떤 정보가 탈취됐는지 면밀히 조사하겠다"며 "코어망 접속·결제 성립 메커니즘 등 규명해야 할 과제가 많아 추가 조사가 불가피하다"고 강조했다.
또 "현재 통신 3사는 불법적인 소액 결제가 발생하지 않도록 네트워크와 서비스를 엄격히 관리하고 있다"며 "(정부는) 통신사를 겨냥한 침해 사고가 증가하는 상황을 엄중히 인식하고 있다. 통신 3사의 망 관리 실태에 대한 전면 보안 점검을 실시하고, 이를 토대로 근본 대책을 마련해 발표하겠다"고 덧붙였다.
과기정통부는 이번 사태 이후 전국 단위 불법 기지국 존재 여부를 조사했으며, SK텔레콤·LG유플러스에도 점검을 요구해 추가 불법 기지국은 발견되지 않았다고 밝혔다. 또 신규 초소형 기지국(펨토셀 등)의 망 접속을 전면 제한하고, 이상 트래픽 정보를 통신 3사와 공유하도록 했다.◆ 전문가들 "사후 대응 한계…보안 거버넌스 체계 재정립 시급"
보안 전문가들은 이번 사태를 계기로 "현재의 사후 대응 중심의 보안 체계를 넘어선 보안 거버넌스 체계 재정립이 필요하다"고 지적한다. 대표적으로 ▲망분리 의무화 ▲실시간 침입 탐지 ▲SIM 스와핑 방지 ▲국가 공유형 이상 트래픽 탐지 체계 ▲민관 합동 침해사고 대응팀 상설화 ▲전기통신사업법 개정 ▲통신보안 강화 특별법 제정 등이 새로운 보안 체계 거버넌스 재정립의 방안으로 제안된다.
일각에서는 민관 협력 기반의 보안 체계를 제도적으로 강제할 수 있는 별도의 독립기구 구성이 필요하다는 주장도 나온다.
박춘식 서울여대 정보보호학과 교수는 "최근 발생하는 기업의 보안 이슈에 대해서는 전체적인 거버넌스 자체가 바뀔 필요성이 있다고 본다"며 "기업의 경영진들은 보안에 대한 투자를 일종의 비용으로 인식하는 경향이 있는데, 주무부처인 과기정통부에서 보안 관련 업무를 별도의 '사이버 보안청(가칭)'으로 독립해 구성하는 게 해법이 될 수 있다"고 말했다.
 |
박 교수는 "개인정보보호위원회처럼 별도의 개인정보의 보호와 관련된 조직이 구성되는 것이 더 효율적이라고 본다. 과기정통부의 역할은 기술 육성이지 규제가 아니다"라며 "최근의 해킹은 기업이 아닌 국가를 타깃으로 한 조직적인 규모로 이뤄지기 때문에 민간 기업이 홀로 막기는 어렵다. 사이버 보안청과 같은 별도 조직이 사전 예방과 사후 복구에 전념하면서 기업들이 일정 부분 자율적으로 보안 관련 투자를 할 수 있도록 하는 방법이 현실적"이라고 덧붙였다.
국회입법조사처는 지난 5월 '이동통신사 해킹 사전 예방을 위한 정보보호 강화 방안'이라는 보고서에서 ▲이동통신사의 정보보호 투자 확대를 제도적으로 뒷받침하는 '정보통신망법 내 정보보호 예산의 최소 투자 비율' 명시 ▲인증제도의 실효성을 높이기 위한 '보안 관련 고위험 산업군에 대해 강화된 인증 기준 적용' 및 '인증 취득 기업의 중대한 위법행위로 인한 해킹 사고 발생 시 인증 취소 등 엄정한 제재' ▲이동통신사의 핵심 서버 등이 주요정보통신기반시설 지정대상에서 누락되지 않도록 '주요정보통신기반시설의 지정 범위 확대 및 지정 절차 강화' 및 '이동통신 등 고위험 산업군에 대한 협의회 심의 의무화' 등을 제시했다.
강은수 국회입법조사처 조사관은 보고서에서 "이동통신사를 대상으로 한 해킹은 일시적인 사고가 아닌 구조적 문제"라며 "유사사고의 재발을 방지하기 위해서는 '정보통신망 이용촉진 및 정보보호 등에 관한 법률' 개정을 통해 정보보호 투자를 확대하고, 현행 정보보호 인증제도의 실효성을 제고하며, 주요정보통신기반시설 지정 범위를 확대하고, '정보통신기반 보호법 시행령' 개정을 통해 지정절차를 강화하는 방안을 고려할 필요가 있다"고 지적했다.
◆ 해외는 CISA·ENISA·NISC 등 독립 보안 기구 상시 운영, 한국은?
해외 주요국은 사이버 보안 거버넌스를 국가 차원에서 독립적으로 운영하고 있다. 미국은 국토안보부 산하에 '사이버보안 및 기반시설 보안국(CISA, Cybersecurity and Infrastructure Security Agency)'을 두고 있으며, 유럽연합(EU)은 회원국 간 공동 대응을 위한 'ENISA(유럽 사이버보안 기구)'를 운영한다. 일본 역시 총무성과 경제산업성이 협력해 'NISC(현 국가사이버통괄실)'를 중심으로 민관 합동 대응 체계를 마련하고 있다.
이재명 대통령 역시 후보 시절에 대선 공약을 통해 사이버보안 강화를 위한 여러 과제를 제시한 바 있다. 데이터 중심 보호 체계 전환, 정보보호 투자와 전담 인력 공개 확대, 침해 사고 발생 시 책임성 강화, 부처 간 유기적 대응 조직 구축 등이 주요 내용으로, 민관 협력 기반의 보안 산업 육성과 중소기업 보안 사각지대 해소, 보이스피싱·스미싱 대응 강화 등 국민 생활과 밀접한 보안 과제를 제시한 바 있다.
최근 발표한 정부조직 개편안에는 보안 전담 독립기구 신설은 포함되지 않고, 방송통신위원회 폐지 및 방송미디어통신위원회 신설, 과기정통부 내 AI 전담부서 설치 등 ICT 거버넌스 조정이 이뤄졌지만, 전문가들은 과기정통부 내 정보보호 전담 실·국장급 조직 신설과 정보보호 공시 대상 전 상장사 확대, CISO 권한 강화, R&D 예산 내 보안 비율 확대 등 후속 조치가 필요하다는 지적이 나온다.
박춘식 교수는 "현재 우리나라에도 정보보호 산업 육성법 하에 정보 보호 공시 제도가 운영되고 있지만, 여러 해킹 피해 사례가 발생하는 것처럼 유명무실한 게 현실"이라며 "해외의 경우, 기업의 경영자들이 해킹 피해에 대해 엄중히 책임을 진다. 피해에 대한 보상 규모도 기업 매출의 일정 부분(유럽의 경우, 중대한 위반 시 최대 4% 부과)을 보상하도록 하는데, 우리나라는 책임에 대해 명확치가 않다"고 지적했다.
이어 "사이버 보안청과 같은 별도 기구를 통해 국가 보안 거버넌스 체계를 재정립하면 상황이 많이 달라질 수 있다고 생각한다"며 "이번 정부조직개편 과정에서 보안 관련 별도 기구나 역할 강화 등의 움직임은 없었지만, 이제는 별도 기구를 통해 민간 기업들의 보안 예방과 피해 복구에 적극 나서야할 시대"라고 덧붙였다.
dconnect@newspim.com
