이해민 "KT 무단 소액결제 '펨토셀'…정부 보안인증에선 빠져"

KISA 주관 'ISMS/ISMS-P', 예산부족에 코어망 위주로만 인증
"수천만원 내고 인증받아도 해킹…제도 실효성 개선하라" 지적

서울 광화문 KT 본사 모습. 2025.9.23/뉴스1 ⓒ News1 김명섭 기자

(서울=뉴스1) 윤주영 기자 = 한국인터넷진흥원(KISA)의 정보보호 인증체계 'ISMS/ISMS-P'에 초소형기지국(펨토셀) 및 무선 기지국 핵심설비가 제외된 것으로 드러났다. 불법 펨토셀은 최근 KT(030200) 무단 소액결제 사태의 핵심 범행도구로 사용됐다.

KISA는 인력·예산 한계로 인해 말단 장비가 아닌 코어망 중심으로만 인증을 진행했다는 입장이다. 이같은 제도적 허점이 범죄를 더 손쉽게 만들었다는 지적이 나온다.

25일 국회 과학기술정보방송통신위원회 소속 이해민 조국혁신당 의원은 이같은 내용으로 KISA가 제출한 'ISMS-P 인증제도 안내서' 등 자료를 공개했다.

ISMS-P 인증 상에서 이동통신 3사와 같은 정보통신망 서비스 제공자(ISP)의 설비 인증범위는 "IP 기반의 인터넷 연결을 위한 정보통신설비 및 관련 서비스를 제공하기 위한 정보통신설비"로 규정됐다. 정의에 충실하려면 펨토셀과 무선 기지국도 포함돼야 한다.

하지만 그간의 인증심사에서 이같은 장비들은 제외된 것으로 확인됐다.

KISA는 "ISMS-P 인증은 인력·예산 한계로 인해 코어망 중심으로만 하고 있었다"며 "무선 기지국은 중앙전파관리소가 관리하기 때문에 범위에 포함하지 않았다"고 해명했다.

하지만 이 의원에 따르면 중앙전파관리소와 한국방송통신전파진흥원이 실시하는 무선기지국 검사는 장비의 성능과 전파 혼·간섭 여부 정도를 확인할 뿐이다. 보안성 검증은 포함되지 않는다.

무선 기지국과 펨토셀 같은 설비가 보안 사각지대로 남아 해킹사고가 반복된다고 이 의원은 꼬집었다.

이 의원은 "ISMS-P 제도의 비용 대비 실효성이 부족한 것도 문제"라며 "기업들은 인증을 준비하고자 수천만 원에 달하는 비용과 인력 등을 감수한다. 정작 핵심 위험지대는 제도 밖에 놓였다"고 비판했다.

실제로 KT나 비슷한 시기에 해킹 이슈가 불거진 롯데카드 등 피해 기업들은 모두 ISMS/ISMS-P 인증을 받은 곳이었다.

이 의원은 "국민은 정부 인증을 신뢰하고 이를 바탕으로 기업 서비스를 이용하는 것이다"며 "현실과 동떨어진 인증 기준과 기업 자율에 맡겨진 형식적 검토만으로는 실제 보안 수준을 높일 수 없다"고 목소리를 높였다.

ISP 사업자의 경우 코어망 외부에서도 보안 사고가 발생할 수 있는 만큼, 인증 범위를 확대해야 한다는 게 이 의원의 주장이다. 또 형식적 서류심사, 체크리스트 위주 인증이 아니라, 실제 위협 시나리오 기반으로 보안관리 체계를 전면 개편해야 한다고 덧붙였다.

legomaster@news1.kr

<용어설명>

■ 펨토셀
가정이나 소규모 사무실을 위한 초소형·저전력의 이동통신 기지국이다. 데이터 트래픽 분산이나 음영지역 해소의 목적으로 사용된다. 서비스 가능 반경은 통상 수십미터 이내다.

■ ISMS-P
정보보호 및 개인정보보호 관리체계

■ ISMS
ISMS(정보보호관리체계·Information Security Management System)는 다양한 사이버 위협으로부터 기업·기관이 보유한 주요 정보자산을 체계적으로 보호하기 위해 수립하는 정책과 절차, 기술적·관리적 기준을 모두 포괄하는 보안 관리 프레임워크다.