SKT 정보보호 ‘쥐꼬리 투자’…“법으로 확대 강제해야”
- 작년 600억 KT 절반도 안 돼
- LG유플러스는 2년새 2배 증액
- 정보통신망법 등 개정 제안
- 서버 등 기반시설 지정 넓혀야
SK텔레콤 가입자 정보 대량 유출 사태와 관련, 국회입법조사처는 관련 법률을 개정해 이동통신사에 정보보호 투자를 확대하도록 강제하고 주요 정보통신 기반 시설의 지정 범위도 넓혀야 한다고 제안했다.
국회입법조사처는 25일 ‘이동통신사 해킹 사전 예방을 위한 정보보호 강화 방안’ 보고서에서 이동통신사의 정보보호 투자 확대를 유도하기 위해 정보통신망법을 개정, 정보보호 예산이 정보기술 부문 예산의 일정 비율 이상이 되도록 노력할 의무를 명시해야 한다고 밝혔다.
입법조사처는 “SK텔레콤 해킹 사고에서는 자율 보안의 한계가 드러난 만큼 종전 금융위원회의 ‘전자금융감독규정’을 참고해 정보통신망법에 정보보호 예산의 최소 투자 비율을 명시한다면 이동통신사의 정보보호 투자 확대를 제도적으로 뒷받침할 수 있을 것”이라고 강조했다.
지난해 기준 SK텔레콤의 정보기술 투자 대비 정보보호 투자금액 비율은 4.1%에 불과하다. 경쟁사인 KT 6.4%, LG유플러스 6.6%에 비해 낮은 수준이라는 게 입법조사처 설명이다. 2022년부터 지난해까지 정보보호 공시 현황을 보면 SK텔레콤은 2022년 정보보호 투자액이 627억 원에서 지난해 600억 원으로 오히려 감소했다. 가입자 수가 2000만 명이 넘을 정도로 많지만 SK텔레콤의 지난해 정보보호 투자금액은 KT(1218억 원) 절반도 되지 않고 LG유플러스(632억 원)보다 적다.
2023년 LG유플러스 해킹 사고(2018년 해킹된 정보들이 불법 거래 사이트서 발견) 당시에도 미흡한 정보보호 투자가 사고 원인으로 꼽혔다. 또 2023년 4월 정부는 LG유플러스의 보안 투자가 상대적으로 저조하다고 밝혔다. 이후 LG유플러스는 정보보호 투자액을 2022년 292억 원에서 지난해 632억 원으로 두 배 이상 증액했다. 입법조사처는 “SK텔레콤은 이러한 선례를 교훈으로 삼지 못하고 정보보호 투자에 소극적 태도를 보였던 것으로 보인다”고 진단했다.
SK텔레콤은 정부가 부여하는 정보보호 및 개인정보보호 관리체계(ISMS-P, Personal Inofrmation & Information Security Management System) 인증을 받았음에도 심각한 해킹이 발생해 이 제도의 실효성에도 의문이 제기된다. 입법조사처는 “이번 SK텔레콤 해킹 사태에서도 인증 기준상 요구되는 절차가 실제 현장에서는 제대로 작동되지 않았다”면서 “인증 제도의 실효성을 높이기 위해 이동통신사 등 고위험 산업군에 대해서는 보다 엄격한 인증 기준을 적용할 수 있도록 정보통신망법 개정을 검토할 필요가 있다”고 강조했다.
이번에 해킹된 SK텔레콤의 HSS(Home Subscriber Server·통신 가입자가 네트워크에 접속할 때 정상가입자 여부를 인증) 서버는 보안 침해 때 국가 통신기반에 광범위한 혼란을 초래할 수 있지만 그간 과소평가돼 주요 정보통신 기반 시설에서 제외된 채 사각지대에 놓여 있었다는 게 입법조사처 설명이다.
입법조사처는 “정부는 이동통신사의 핵심 서버가 주요 정보통신 기반 시설 지정 대상에서 누락되지 않도록 주요 정보통신 기반 시설의 지정 범위를 확대하고 지정 절차를 강화해야 한다”면서 “정보통신기반 보호법 시행령을 개정해 이동통신 등 고위험 산업군에 대해서는 협의회 심의를 의무화하는 방향으로 법령 개정을 고려해 볼 수 있다”고 제언했다.
또 국회입법조사처는 ‘디지털 비상사태 발생 때 디지털 취약 계층을 위한 입법·정책 방안’ 보고서에서 SK텔레콤 해킹 사고와 같은 디지털 비상사태가 발생하면 디지털 취약 계층의 대응을 지원할 수 있는 근거 법률이 없고 실효성 있는 정책이 미비하다고 지적했다.
|
||||||||||||||||||||||||
|
||||||||||||||||||||
Copyright © 국제신문. 무단전재 및 재배포 금지.