반복되는 이동통신사 해킹 예방을 위한 정보보호 체계 개선
정보보호 예산 비율과 강화된 인증, 법령 위반 시 인증취소 근거도 마련해야

[보안뉴스 조재호 기자] SK텔레콤 해킹 사태와 같은 이동통신사 침해 사고를 막기 위해 IT 예산의 일정 비율 이상을 정보보호에 투자하도록 의무화해야 한다는 의견이 나왔다.



입법조사처는 21일 발간한 ‘이슈와 논점’ 보고서에서 반복되는 이동통신사 대상 사이버 공격을 예방하기 위해 정보보호 체계를 개선할 필요가 있다고 지적했다.

사이버 공격이 통신망 장악이나 마비로 이어지면 대규모 개인정보 유출을 넘어 국가적 사이버 안보 위협으로 이어질 수 있기 때문이다.

입법조사처는 이동통신사 정보보호 투자 확대를 위해 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’(정보통신망법)을 개정해 정보기술 예산에서 일정 비율의 예산을 확보하도록 의무화하는 방안을 제시했다. SKT는 지난해 정보보호 분야 600억원을 투자했다. 이는 KT(1218억원)나 LG유플러스(632억원)보다 적다.

SKT가 정부 정보보호 인증을 받았음에도 심각한 해킹 사고가 발생했다는 점에서 인증 체계 개선 필요성도 제기됐다. 입법조사처는 이동통신을 비롯해 보안 관련 고위험 산업군은 강화된 인증 기준을 적용하고, 중대한 법령 위반이 있을 경우 인증을 취소할 근거를 마련해야 한다고 지적했다. 사후 심사 및 현장 심사 강화도 주문했다.

이번 SKT 해킹 사태에서 문제가 된 가입자 정보 시스템(HSS) 서버는 침해될 경우 국가 통신기반에 광범위한 혼란을 줄 수 있지만, 주요정보통신기반시설에선 제외돼 있다는 점도 지적했다. 이동통신사 핵심 서버가 포함되도록 지정 범위를 확대하고, 이동통신 등 고위험 사업군에 대해서는 관련 전문가로 구성된 협의회 심의를 의무화하는 방향으로 법령 개정이 필요하다고 제안했다.

[조재호 기자(sw@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>