이해민 "KT 무단 소액결제 '펨토셀'…정부 보안인증에선 빠져" 작성일 09-25 53 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">KISA 주관 'ISMS/ISMS-P', 예산부족에 코어망 위주로만 인증<br>"수천만원 내고 인증받아도 해킹…제도 실효성 개선하라" 지적</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="tXk8FQP3GJ"> <figure class="figure_frm origin_fig" contents-hash="8ce937361be4ed2557415085995c558c5e0c2339d5beb97b7b2ea5c0727657c8" dmcf-pid="FZE63xQ0Zd" dmcf-ptype="figure"> <p class="link_figure"><img alt="서울 광화문 KT 본사 모습. 2025.9.23/뉴스1 ⓒ News1 김명섭 기자" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202509/25/NEWS1/20250925152514840nmgn.jpg" data-org-width="1400" dmcf-mid="1ZJKvqzTXi" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202509/25/NEWS1/20250925152514840nmgn.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 서울 광화문 KT 본사 모습. 2025.9.23/뉴스1 ⓒ News1 김명섭 기자 </figcaption> </figure> <p contents-hash="108186e856bf4c2dbddf69dd4eadc38106d41d1c03389b94db6af790e0c84385" dmcf-pid="35DP0Mxpte" dmcf-ptype="general">(서울=뉴스1) 윤주영 기자 = 한국인터넷진흥원(KISA)의 정보보호 인증체계 'ISMS/ISMS-P'에 초소형기지국(펨토셀) 및 무선 기지국 핵심설비가 제외된 것으로 드러났다. 불법 펨토셀은 최근 KT(030200) 무단 소액결제 사태의 핵심 범행도구로 사용됐다.</p> <p contents-hash="f0b68b06c9743b7f4447a90435b96428b9d0caeb868c090db5aa3582d519cffc" dmcf-pid="01wQpRMUZR" dmcf-ptype="general">KISA는 인력·예산 한계로 인해 말단 장비가 아닌 코어망 중심으로만 인증을 진행했다는 입장이다. 이같은 제도적 허점이 범죄를 더 손쉽게 만들었다는 지적이 나온다.</p> <p contents-hash="9b703518e615597dc2447d93d9d58effd607ba9b60f2a464cc30bbb0611b50f7" dmcf-pid="ptrxUeRuXM" dmcf-ptype="general">25일 국회 과학기술정보방송통신위원회 소속 이해민 조국혁신당 의원은 이같은 내용으로 KISA가 제출한 'ISMS-P 인증제도 안내서' 등 자료를 공개했다.</p> <p contents-hash="e306bcf131b493922da5d289eef92c1f556efe3b36b375f602ff02ccb41b18de" dmcf-pid="UFmMude75x" dmcf-ptype="general">ISMS-P 인증 상에서 이동통신 3사와 같은 정보통신망 서비스 제공자(ISP)의 설비 인증범위는 "IP 기반의 인터넷 연결을 위한 정보통신설비 및 관련 서비스를 제공하기 위한 정보통신설비"로 규정됐다. 정의에 충실하려면 펨토셀과 무선 기지국도 포함돼야 한다.</p> <p contents-hash="ab2f82a10e849f67f140f1a4fc68d5e39148aadc5604a60f269143b6642bf805" dmcf-pid="u3sR7JdzYQ" dmcf-ptype="general">하지만 그간의 인증심사에서 이같은 장비들은 제외된 것으로 확인됐다.</p> <p contents-hash="801a52c0a179dd621e0ace7df9023dcfa4e0fe4e552474a55362eb2e2c6492b5" dmcf-pid="7ya9XfVZHP" dmcf-ptype="general">KISA는 "ISMS-P 인증은 인력·예산 한계로 인해 코어망 중심으로만 하고 있었다"며 "무선 기지국은 중앙전파관리소가 관리하기 때문에 범위에 포함하지 않았다"고 해명했다.</p> <p contents-hash="92facf679fe431810417d252b6702cbb00152a42518019997d206b957f7285d3" dmcf-pid="zWN2Z4f5Y6" dmcf-ptype="general">하지만 이 의원에 따르면 중앙전파관리소와 한국방송통신전파진흥원이 실시하는 무선기지국 검사는 장비의 성능과 전파 혼·간섭 여부 정도를 확인할 뿐이다. 보안성 검증은 포함되지 않는다.</p> <p contents-hash="2cdf95904d3b8856a86d8a14f6c9c4113cc7825b71b4939ee0bbab061f4c11fe" dmcf-pid="qYjV5841X8" dmcf-ptype="general">무선 기지국과 펨토셀 같은 설비가 보안 사각지대로 남아 해킹사고가 반복된다고 이 의원은 꼬집었다.</p> <p contents-hash="a46ba570699062de35f0c3e6f4c497916439749d8a1e524f7bd09a191f07796f" dmcf-pid="BGAf168tt4" dmcf-ptype="general">이 의원은 "ISMS-P 제도의 비용 대비 실효성이 부족한 것도 문제"라며 "기업들은 인증을 준비하고자 수천만 원에 달하는 비용과 인력 등을 감수한다. 정작 핵심 위험지대는 제도 밖에 놓였다"고 비판했다.</p> <p contents-hash="111366c7fe46e779f6f4852a88ca8111fb030195740393114d54f091d4124c38" dmcf-pid="bHc4tP6F5f" dmcf-ptype="general">실제로 KT나 비슷한 시기에 해킹 이슈가 불거진 롯데카드 등 피해 기업들은 모두 ISMS/ISMS-P 인증을 받은 곳이었다.</p> <p contents-hash="69a67f8c7488e0fa4d6e56a6022aa208165a901f33ec0080679a125f072644d9" dmcf-pid="KXk8FQP3XV" dmcf-ptype="general">이 의원은 "국민은 정부 인증을 신뢰하고 이를 바탕으로 기업 서비스를 이용하는 것이다"며 "현실과 동떨어진 인증 기준과 기업 자율에 맡겨진 형식적 검토만으로는 실제 보안 수준을 높일 수 없다"고 목소리를 높였다.</p> <p contents-hash="0ae891a9944012ea20576958d1bc4d5b6c7cd00d1755604fd10f2b8fa386a50b" dmcf-pid="9ZE63xQ0H2" dmcf-ptype="general">ISP 사업자의 경우 코어망 외부에서도 보안 사고가 발생할 수 있는 만큼, 인증 범위를 확대해야 한다는 게 이 의원의 주장이다. 또 형식적 서류심사, 체크리스트 위주 인증이 아니라, 실제 위협 시나리오 기반으로 보안관리 체계를 전면 개편해야 한다고 덧붙였다.</p> <p contents-hash="11d93c448722e8adabe6bd3559e005d15877adc06c14223f546227957825d755" dmcf-pid="25DP0Mxp59" dmcf-ptype="general">legomaster@news1.kr<br><br><strong><용어설명></strong><br><br>■ 펨토셀<br>가정이나 소규모 사무실을 위한 초소형·저전력의 이동통신 기지국이다. 데이터 트래픽 분산이나 음영지역 해소의 목적으로 사용된다. 서비스 가능 반경은 통상 수십미터 이내다.<br><br>■ ISMS-P<br>정보보호 및 개인정보보호 관리체계<br><br>■ ISMS<br>ISMS(정보보호관리체계·Information Security Management System)는 다양한 사이버 위협으로부터 기업·기관이 보유한 주요 정보자산을 체계적으로 보호하기 위해 수립하는 정책과 절차, 기술적·관리적 기준을 모두 포괄하는 보안 관리 프레임워크다.<br><br> </p> </section> </div> <p class="" data-translation="true">Copyright © 뉴스1. All rights reserved. 무단 전재 및 재배포, AI학습 이용 금지.</p> 관련자료 이전 네이버 이해진 복귀 반년만에 빅딜…두나무 인수 추진 '승부수' 09-25 다음 사이버 범죄 급증에 국회 '특별사법경찰' 도입 필요성 제기 09-25 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
