이해민 국회 과학기술정보방송통신위원회 소속 의원(조국혁신당)은 최근 해킹사고의 주요 원인으로 지목된 팸토셀과 무선 기지국이 ISMS·ISMS-P 인증 범위에서 제외돼 있다며, 보안 사각지대를 해소하기 위한 제도 전면 개편이 시급하다고 25일 지적했다.
25일 이해원 의원이 한국인터넷진흥원(KISA)으로부터 제출받은 ‘ISMS-P 인증제도 안내서’에 따르면, 정보통신망서비스제공자(ISP)의 ISMS-P 설비 인증 범위는 ‘IP 기반의 인터넷 연결을 위한 정보통신설비 및 관련 서비스를 제공하기 위한 정보통신설비’로 규정돼 있다.
이 정의에 따르면 초소형 이동통신기지국인 팸토셀과 무선 기지국 역시 포함돼야 한다. 하지만 실제 인증 심사에서는 제외되고 있는 것으로 확인됐다.
KISA는 이에 대해 “ISMS-P 인증은 인력·예산 한계로 인해 코어망 중심으로만 진행하고 있으며, 무선 기지국은 중앙전파관리소가 관리하기 때문에 범위에 포함하지 않고 있다”고 설명했다. 그러나 중앙전파관리소와 한국방송통신전파진흥원이 실시하는 무선 기지국 검사는 장비 성능과 전파 혼·간섭 여부만 확인할 뿐 보안성 검증은 하지 않는다. 이 때문에 무선 기지국과 팸토셀 같은 설비가 보안 사각지대로 남아 해킹사고가 반복되고 있다는 지적이 제기된다.
ISMS-P 제도의 비용 대비 실효성 부족도 문제로 꼽힌다. 기업들은 수천만 원에 달하는 인증비용과 인력 투입을 감수하지만, 정작 핵심 위험 지대는 제도 밖에 놓여 있어 “비싼 돈만 들고 효과는 없다”는 불만이 커지고 있다.
이해민 의원은 “이번 해킹 피해 기업들 모두 ISMS 또는 ISMS-P 인증을 받은 곳이었다”며 “국민들은 정부 인증을 신뢰하고 그 신뢰를 기반으로 기업 서비스를 이용하지만, 지금처럼 현실과 동떨어진 인증 기준과 기업 자율에 맡겨진 형식적 검토만으로는 실제 보안 수준을 높일 수 없다”고 비판했다.
그는 이어 “ISP 사업자의 경우 코어망 외부에서도 보안사고가 발생하고 있는 만큼 인증 범위를 확대해야 한다”며 “형식적 서류심사·체크리스트 위주의 인증이 아니라 실제 해킹 위협 시나리오 기반의 보안관리 체계로 전면 개편해야 한다”고 강조했다.
김광연 기자
fun3503@chosunbiz.com