.gif)
[3줄 요약]
1. KT이어 LG유플러스도 ‘은폐 의혹’…SK쉴더스 ‘허니팟 해킹’도 부각
2. 서버 증거 보전 의무화 주장도 제기
3. C-TAS 이용률 및 IoT 보안인증 신청 건수 부진 지적
[보안뉴스 강현주 기자] 국회 과학기술방송통신위원회가 국정감사를 통해 통신사들의 해킹 은폐 의혹을 집중 난타했다. C-TAS 이용률 및 사물인터넷(IoT) 보안인증 건수 저조 문제, 미신고시 조사 한계 등 제도 실효성 문제도 지적됐다. 기업 해킹 대응에 있어서 국가정보원과 공조 체계 마련 필요성도 제기됐다.
21일 과방위 국정감사에는 통신 3사와 롯데카드 CEO 등 기업 임원들이 대거 출석해 그동안 벌어진 해킹 사고들에 대해 질의를 받았다. 류제명 과기정통부 제2차관과 이상중 한국인터넷진흥원(KISA) 원장 등 관련 기관에서도 출석했다. KT 보안 용역 기업 티오리의 박세준 대표도 자리했다.
▲통신 3사 CEO가 출석한 21일 과방위 국정감사장 현장 [자료: 보안뉴스]
이날 의원들은 KT에 이어 LG유플러스 해킹 ‘은폐·축소 의혹’에 대한 질의를 쏟아냈다. 해킹 정황이 있는 기업의 서버를 증거로 보전하도록 의무화해야 한다는 주장도 나왔다.
이훈기 더불어민주당 의원은 “KT는 7월 10일 침해 사실 확인 요청을 받은 뒤 세 차례에 걸쳐 서버를 폐기했고, LG유플러스는 7월 19일 확인을 요청받자 8월 12일 서버를 업데이트했다”며 “은폐를 위한 조직적 범죄”라고 말했다.
이어 기업이 신고를 하지 않으면 서버 조사를 할 수 없음을 지적하며 과기정통부와 KISA에게 “해킹 확인시 바로 서버를 확보할 수 있는 방법이 없는지 검토해주시기 바란다”고 주문했다.
이해민 조국혁신당 의원은 LG유플러스 의혹을 지적하며 “이 부분은 정부에서 꼭 조사를 해야 한다. 다른 통신사에서 (서버폐기 의혹으로) 난리나는 것 보면서도 이렇게 했다니 놀랐다”며 정부 대응은 적절했는지 물었다.
이어 “이 모든 문제가 LG유플러스가 KISA에 신고를 하지 않아서다. 신고하겠는가”라고 홍 대표에게 재차 물었다.
이에 홍 대표는 “국회와 과기정통부의 절차에 따르겠다. 신고하겠다”고 답했다.
정부가 운영하는 사이버 위협 정보 공유 시스템(C-TAS)의 이용률이 저조하다는 문제도 지적됐다.
이주희 더불어민주당 의원은 “도입된 지 12년된 C-TAS는 해킹 예방 시스템임에도 가입 기업 수가 5000개에 불과하다”며 “위협정보 공유건수가 2020년 대비 567% 증가했음에도 여전히 이용률이 저조하다”고 말했다.
5000개 업체만 이용한다는 것은 정보보호최고책임자(CISO) 지정을 의무화한 기업만 3만개가 있음을 감안하면 너무 저조하다는 지적이다.
또 인터넷이 연결된 가전의 보안성을 인증하는 ‘사물인터넷(IoT) 보안인증’을 받은 해외 기업은 없으며 국내 기업도 소수인 것으로 나타났다.
이정헌 국민의힘 의원은 “IoT 제품을 생산하는 3000개 업체 매출이 25조원에 이르는데, 국내 기업의 IoT 보안인증 신청 수는 올해 상반기까지 13개에 불과하다”며 “가장 높은 레벨인 스탠다드 레벨의 경우 삼상전자 제품 4개뿐”이라고 지적했다.
이어 “해외 업체의 경우 0건”이라며 “유명무실한 보안 인증제도가 됐다”고 지적했다.
이 제도를 의무화할 경우 중소기업에겐 부담이 되고, 통상에도 문제가 될 수 있으니 해외 사이버보안 라벨링 제도 등을 참고해 실효성을 마련하라는 주문이다.
SK쉴더스 ‘허니팟’을 통한 해킹 사고도 지적됐다. 이 회사는 해킹 집단 ‘블랙쉬락택’으로부터 공격을 당했으나 침해 당한 곳은 해커 유인용 사이트 ‘허니팟’이었다고 해명한 바 있다. 하지만 이곳에 연결된 직원의 개인 이메일이 털려 가상이 아닌 실제 데이터를 침해 당한 것으로 나타났다. 이에 18일 한국인터넷진흥원(KISA)에 침해 사실을 신고했다고 <보안뉴스>가 같은 날 단독 보도한 바 있다.
최수진 국민의힘 의원은 “SKT와 KT에 이어 보안기업 SK쉴더스까지 침해 당했는데, AI 발전을 지원한다면서 디지털 보안이 너무 취약하다”고 지적하며 “KISA가 신고를 받은지 벌써 3~4일이 지났음에도 과기정통부는 아직 미대응이라는데, 대응하고 있는가”라고 물었다.
류제명 과기정통부 차관은 “관계 기관과 함께 유출 직원 이메일 내용 면밀히 분석 중”이라고 밝혔다.
또 이날 국감에서 신성범 국민의힘 의원, 이상휘 국민의힘 의원 등이 기업 해킹 사고가 터졌을 때 국가정보원과 공조 체계를 마련할 필요가 있다고 언급했다.
[강현주 기자(jjoo@boannews.com)]
1. KT이어 LG유플러스도 ‘은폐 의혹’…SK쉴더스 ‘허니팟 해킹’도 부각
2. 서버 증거 보전 의무화 주장도 제기
3. C-TAS 이용률 및 IoT 보안인증 신청 건수 부진 지적
[보안뉴스 강현주 기자] 국회 과학기술방송통신위원회가 국정감사를 통해 통신사들의 해킹 은폐 의혹을 집중 난타했다. C-TAS 이용률 및 사물인터넷(IoT) 보안인증 건수 저조 문제, 미신고시 조사 한계 등 제도 실효성 문제도 지적됐다. 기업 해킹 대응에 있어서 국가정보원과 공조 체계 마련 필요성도 제기됐다.
21일 과방위 국정감사에는 통신 3사와 롯데카드 CEO 등 기업 임원들이 대거 출석해 그동안 벌어진 해킹 사고들에 대해 질의를 받았다. 류제명 과기정통부 제2차관과 이상중 한국인터넷진흥원(KISA) 원장 등 관련 기관에서도 출석했다. KT 보안 용역 기업 티오리의 박세준 대표도 자리했다.
▲통신 3사 CEO가 출석한 21일 과방위 국정감사장 현장 [자료: 보안뉴스]
이날 의원들은 KT에 이어 LG유플러스 해킹 ‘은폐·축소 의혹’에 대한 질의를 쏟아냈다. 해킹 정황이 있는 기업의 서버를 증거로 보전하도록 의무화해야 한다는 주장도 나왔다.
이훈기 더불어민주당 의원은 “KT는 7월 10일 침해 사실 확인 요청을 받은 뒤 세 차례에 걸쳐 서버를 폐기했고, LG유플러스는 7월 19일 확인을 요청받자 8월 12일 서버를 업데이트했다”며 “은폐를 위한 조직적 범죄”라고 말했다.
이어 기업이 신고를 하지 않으면 서버 조사를 할 수 없음을 지적하며 과기정통부와 KISA에게 “해킹 확인시 바로 서버를 확보할 수 있는 방법이 없는지 검토해주시기 바란다”고 주문했다.
이해민 조국혁신당 의원은 LG유플러스 의혹을 지적하며 “이 부분은 정부에서 꼭 조사를 해야 한다. 다른 통신사에서 (서버폐기 의혹으로) 난리나는 것 보면서도 이렇게 했다니 놀랐다”며 정부 대응은 적절했는지 물었다.
이어 “이 모든 문제가 LG유플러스가 KISA에 신고를 하지 않아서다. 신고하겠는가”라고 홍 대표에게 재차 물었다.
이에 홍 대표는 “국회와 과기정통부의 절차에 따르겠다. 신고하겠다”고 답했다.
정부가 운영하는 사이버 위협 정보 공유 시스템(C-TAS)의 이용률이 저조하다는 문제도 지적됐다.
이주희 더불어민주당 의원은 “도입된 지 12년된 C-TAS는 해킹 예방 시스템임에도 가입 기업 수가 5000개에 불과하다”며 “위협정보 공유건수가 2020년 대비 567% 증가했음에도 여전히 이용률이 저조하다”고 말했다.
5000개 업체만 이용한다는 것은 정보보호최고책임자(CISO) 지정을 의무화한 기업만 3만개가 있음을 감안하면 너무 저조하다는 지적이다.
또 인터넷이 연결된 가전의 보안성을 인증하는 ‘사물인터넷(IoT) 보안인증’을 받은 해외 기업은 없으며 국내 기업도 소수인 것으로 나타났다.
이정헌 국민의힘 의원은 “IoT 제품을 생산하는 3000개 업체 매출이 25조원에 이르는데, 국내 기업의 IoT 보안인증 신청 수는 올해 상반기까지 13개에 불과하다”며 “가장 높은 레벨인 스탠다드 레벨의 경우 삼상전자 제품 4개뿐”이라고 지적했다.
이어 “해외 업체의 경우 0건”이라며 “유명무실한 보안 인증제도가 됐다”고 지적했다.
이 제도를 의무화할 경우 중소기업에겐 부담이 되고, 통상에도 문제가 될 수 있으니 해외 사이버보안 라벨링 제도 등을 참고해 실효성을 마련하라는 주문이다.
SK쉴더스 ‘허니팟’을 통한 해킹 사고도 지적됐다. 이 회사는 해킹 집단 ‘블랙쉬락택’으로부터 공격을 당했으나 침해 당한 곳은 해커 유인용 사이트 ‘허니팟’이었다고 해명한 바 있다. 하지만 이곳에 연결된 직원의 개인 이메일이 털려 가상이 아닌 실제 데이터를 침해 당한 것으로 나타났다. 이에 18일 한국인터넷진흥원(KISA)에 침해 사실을 신고했다고 <보안뉴스>가 같은 날 단독 보도한 바 있다.
최수진 국민의힘 의원은 “SKT와 KT에 이어 보안기업 SK쉴더스까지 침해 당했는데, AI 발전을 지원한다면서 디지털 보안이 너무 취약하다”고 지적하며 “KISA가 신고를 받은지 벌써 3~4일이 지났음에도 과기정통부는 아직 미대응이라는데, 대응하고 있는가”라고 물었다.
류제명 과기정통부 차관은 “관계 기관과 함께 유출 직원 이메일 내용 면밀히 분석 중”이라고 밝혔다.
또 이날 국감에서 신성범 국민의힘 의원, 이상휘 국민의힘 의원 등이 기업 해킹 사고가 터졌을 때 국가정보원과 공조 체계를 마련할 필요가 있다고 언급했다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png){kind=spacer}
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
