[비즈니스포스트] 최근 잇다른 해킹 사태의 원인으로 팸토셀(초소형 이동통신기지국), 무선 기지국 등 핵심 설비들이 인증 제도에서 제외돼 왔다는 지적이 나왔다.  

이해민 조국혁신당 의원은 25일 보도자료를 통해 "최근 연이어 발생한 해킹사고의 주요 원인이 된 팸토셀, 무선 기지국 등 핵심 설비들이 정작 ISMS(정보보호 관리체계 인증)/ISMS-P(정보보호 및 개인정보보호 관리체계 인증) 인증 범위에서 제외되어 있다"며 "인증범위 확대를 포함한 제도 전반의 개편이 시급하다"고 말했다.
 
이 이원은 팸토셀과 무선기지국 역시 인증제도의 정의상 인증 심사에 포함돼야 하지만 사각지대에 머무르고 있다고 지적했다.

이 의원은 한국인터넷진흥원(KISA)으로부터 제출받은 ‘ISMS-P 인증제도 안내서’에 따라 "ISP(정보통신망서비스제공자)의 ISMS-P 설비 인증범위는 'IP기반의 인터넷 연결을 위한 정보통신설비 및 관련 서비스를 제공하기 위한 정보통신설비'로 규정되어 있다"며 "이 정의에 따르면 초소형 이동통신기지국인 팸토셀과 무선 기지국 역시 포함되어야 하지만실제 인증심사에서는 제외하고 있는 것으로 확인됐다"고 말했다.

KISA는 이러한 맹점에 대해 현실적인 비용 문제를 제기한 것으로 전해졌다. 

KISA는 "ISMS-P 인증은 인력·예산 한계로 인해 코어망 중심으로만 진행하고 있으며 무선기지국은 중앙전파관리소가 관리하기 때문에 범위에 포함하지 않고 있다"고 설명했다고 이 의원은 전했다. 

이 의원은 인증 제도를 형식이 아니라 실질 위주로 개선해야 한다고 강조했다. 

이 의원은 "이번 해킹 피해 기업들 모두 ISMS 또는 ISMS-P 인증을 받은 곳이었다"며 "국민들은 정부 인증을 신뢰하고 그 신뢰를 기반으로 기업 서비스를 이용하지만 지금과 같은 현실과 동떨어진 인증 기준과 기업 자율에 맡겨진 형식적 검토만으로는 실제 보안수준을 높일 수 없다"고 말했다.

이 의원은 이어 "ISP 사업자의 경우 코어망 외부에서도 보안사고가 발생하고 있는 만큼 인증범위를 확대해야 한다"며 "형식적 서류심사·체크리스트 위주의 인증이 아니라 실제 해킹 위협 시나리오 기반으로 보안관리 체계를 전면 개편해야 한다"고 덧붙였다. 권석천 기자