[SKT 해킹 그 후]ISMS 보안인증은 최소 기준일 뿐…신속 대응 체계 마련해야

SK텔레콤 유심(USIM) 정보 침해 사고가 일어난 가운데 전문가들로부터 통신사 정보보호체계를 비롯해 정보보호 인증 제도 및 법에 대한 미비점과 개선안에 대해 들어봤습니다.

이미지 제작=챗GPT

SK텔레콤 유심 해킹 사태가 일어난 뒤 정보보호 관리체계 인증(ISMS) 등 정부의 보안 인증제도 실효성에 관한 의문이 제기됐다. 전문가들은 인증제도는 최소한의 기준일 뿐 기업·기관이 빠르게 고도화하는 해킹 기술을 막기 위해 지속 가능한 정보보호 체계를 마련해야 한다고 말한다. 정부 인증을 받았으니 정보보호 역량을 충분히 갖춘 것으로 간주하는 자세를 경계해야 한다는 지적이다.

<블로터>가 이달 9일 온라인으로 개최한 'SKT 유심 정보 침해 사고를 통해 본 정보보호체계 및 법안의 미비점 및 보완책' 좌담회에서 박진호 동국대 컴퓨터·AI학부 교수는 "운전면허증 취득이 우수한 운전 실력을 보장하지 못하는 것처럼 ISMS는 기본 수준을 갖췄다는 평가"라며 "언제 어디서 침투할지 모르는 정보보호 공격 특징을 고려해 인공지능(AI) 기반 모니터링 지속, 선제 방어와 빠른 대응 체계를 갖추는 것이 중요하다"고 강조했다.

SKT도 ISMS 인증 받은 기업…무용론 등장

ISMS는 과학기술정보통신부와 개인정보보호위원회가 관리하고 한국인터넷진흥원(KISA)과 금융보안원(FSI)이 인증 평가를 진행하는 제도다. 기업·기관이 해킹, 내부자의 정보 유출, 시스템 장애  등 보안 위협에 관해 수립한 대응  체계를 평가한다. 이 과정에서 서류 검증과 현장 실사를 통해 사고 예방·대응, 재해 복구 등 80여개 항목을 확인한다.

ISMS-P는 개인정보보호 항목 21개를 추가한 인증제도다. 현재 한국은 국가기간통신사인 SKT 등 규모가 큰 기업에 한해 ISMS를 의무화한다. ISMS-P는 기업의 자발적 참여에 맡긴다. SKT는 이동통신서비스 인프라 운용, T전화·누구(NUGU) 서비스 운영에 관한 ISMS 심사를 통과했다. 또 이동전화 고객관리 서비스에 관해 ISMS-P 인증을 받았다.

하지만 SKT의 유심 해킹 사고로 가입자의 전화번호, 가입자식별번호(IMSI)가 유출되며 해당 인증을 받아도 소용 없다는 인식이 확산됐다. 두 인증 모두 개인정보보호와 △해킹 방지 △사고 대응 △사후 관리 등 정보보안 전 과정에 걸친 체계를 평가하는데, 인증을 받아도 대형 사고가 반복됐다는 여론이다.

이를 두고 염흥열 순천향대 정보보호학과 교수는 "ISMS 인증을 받은 기업·기관은 사후 심사에서 결함 사항을 계속 지적받고 이를 수정한다"며 "(이로 미루어 보아)ISMS의 기본 취지는 기업이 새로운 위협을 계속 인지하고, 악성코드인 BPF도어가 설치될 가능성을 대비한 전담 인력을 배치해 지속 모니터링하는 상시 대응 체계 마련"이라고 설명했다. 최경진 가천대 법과대학 교수는 "ISMS 등 인증제도로 모든 것을 해결하려는 접근방식부터 문제"라고 문제를 요약했다. ISMS가 '만능 열쇠'가 안니 지속적인 정보보호 체계 마련을 유도하는 장치라는 뜻이다.

(왼쪽부터)염흥열 순천향대 정보보호학과 교수, 최경진 가천대 법과대학 교수, 박진호 동국대 컴퓨터·AI 학부 교수 /사진 제공=염흥열·최경진·박진호 교수

"섣부른 규제 강화 아닌 '지속·신속 대응 체계' 마련 중요"

전문가들은 ISMS 규제 강화에 조심스러운 입장을 나타내면서 기업·기관의 상시 모니터링 강화와 빠른 대응 체계 구축 등 지속 가능한 보안 체계 마련을 강조했다. 해킹 기술은 나날이 발전하기 때문에 ISMS 인증을 통과했다고 안심할 수 없다는 이유다. 박 교수는 "최근엔 인공지능(AI)을 활용해 소규모 파일로 사이버 공격 무기를 즉시 만들 정도로 해킹 기술이 발전했다"며 "이를 막기 위해 실시간 모니터링을 지속하고, 위협에 최대한 빠르게 대응하는 체계를 마련해야 한다"고 말했다.

염 교수는 정보보호 인증을 받은 제품 사용도 중요하다고 짚었다. 이번 SKT 유심 정보 유출 사고도 핵심 통신 인프라인 '홈 가입자 서버(HSS)'가 해킹되면서 일어났기 때문이다. 염 교수는 "국제 이동통신 표준화 기구 3GPP, 세계이동통신사업자연합회(GSMA)의 인증을 받은 5G·시스템 내 네트워크 장치를 구매해야 한다"고 강조했다. 또한 "이번 HSS 해킹 같이 고도로 지능적인 공격에 대응할 수 있는 모의 침투 훈련도 중요하다"고 부연했다.

일각에서는 SKT 유심 정보 유출 뒤 ISMS 규제를 강화해야 한다는 목소리가 커졌다. 하지만 최 교수는 규제 강화가 역효과를 낳을 수 있다고 우려했다. 최 교수는 "규제를 강화하면 기업·기관에게 이것만 하면 된다는 잘못된 시그널을 줄 수 있다"고 예상했다. 또한 "ISMS의 통제 항목이 해킹 기술 발전을 즉시 반영해 변할 수 있는지 의문"이라고 지적했다.

그는 "ISMS를 의무화하거나 규제 수준을 지나치게 높이지 않고, 인증 갱신 주기를 줄이고 기업·기관에 컨설팅을 제공해 지속적인 정보보호 체계를 발전시키는 편이 낫다"고 말했다.

윤상은 기자

기사원문보기

Copyright © 블로터