KT 해킹 사건의 주요 원인으로 지목된 초소형 기지국, 이른바 ‘펨토셀’이 정부 정보보호 제도상의 사각지대에 방치됐던 사실이 드러났다. 정부 인증 제도인 ISMS-P의 인증 범위에서 이 장비가 빠져 있었던 것이다.
25일 국회 과학기술정보방송통신위원회 소속 이해민 의원실이 한국인터넷진흥원(KISA)으로부터 제출받은 자료에 따르면, 펨토셀은 정보보호관리체계(ISMS-P) 인증 대상에 명시적으로 포함되지 않은 것으로 나타났다. ISMS-P는 개인정보보호위원회가 주관하고 KISA가 관리·감독하는 제도로, 기업의 개인정보와 정보보호 수준을 평가해 인증하는 역할을 한다.
문제는 ISMS-P 인증이 통신사업자의 핵심망(코어망) 중심으로만 이뤄지고 있다는 점이다. 펨토셀 같은 무선기지국은 네트워크 말단에 설치되는 소형 장비로, 통신 품질 개선을 위해 설치되지만, 이번 사건처럼 외부 해킹에 노출될 경우 전체 네트워크에 치명적인 위협을 가할 수 있다. 그러나 KISA는 펨토셀이 중앙전파관리소의 관할 대상이라는 이유로 인증 범위에 포함하지 않았다고 설명했다.
중앙전파관리소와 그 산하의 한국방송통신전파진흥원이 수행하는 무선기지국 검사는 장비 성능이나 전파 간섭 여부만을 확인한다. 해킹 가능성과 같은 정보보안 측면은 검토 대상이 아니다. 이에 따라 펨토셀은 보안 검증 사각지대에 방치됐으며, 이런 구조적 허점이 해킹 사고의 반복이라는 결과로 이어졌다는 것이 국회의 지적이다.
이해민 의원은 이처럼 현실과 동떨어진 제도 운영을 강하게 비판했다. 그는 “KT 해킹 사건의 피해 기업도 ISMS-P 인증을 받은 곳이었지만, 실질적인 보호 기능을 하지 못했다”며, “국민은 정부 인증을 믿고 서비스를 이용하므로, 형식적인 인증보다는 실효성 있는 관리 체계가 필요하다”고 주장했다. 그는 특히 통신망의 외곽 요소들에서도 해킹 사고가 발생하고 있는 현실을 감안해 인증 범위를 확장하고, 실제 침해 가능성 기반의 보안 점검으로 제도를 개편해야 한다고 강조했다.
이번 사태는 정보보호 제도의 운영 방식과 범위에 대한 근본적인 재검토 필요성을 보여주는 사례로 평가된다. 국민의 통신망 신뢰를 유지하기 위해서는 형식적 인증을 넘어, 실질적인 보안 체계 강화가 불가피할 것으로 보인다. 향후 정부가 펨토셀을 비롯한 주변 기지국 장비에 대해서도 인증 기준을 강화할지 여부가 제도 개선의 관건이 될 전망이다.
<저작권자 ⓒ TokenPost, 무단전재 및 재배포 금지>