올해 법령 개정, 2025년 8월까지 ISMS 인증 획득...180일 이내에 CISO 신고 완료해야
알뜰폰 USIM 개통 시 본인확인·검증과정 점검, 접근통제, 인증 권한관리 등 적용 검토
[보안뉴스 김경애 기자] 정부는 알뜰폰 비대면 부정가입 방지를 위한 종합대책을 추진하겠다고 지난 5월 27일 발표한 바 있다. 이번 종합대책 가운데 알뜰폰 사업자들의 보안수준을 끌어올리기 위한 대책으로 ISMS 인증과 CISO 신고를 의무화하는 내용을 담고 있어 이에 대한 구체적인 방안에 관심이 쏠리고 있다. 이와 관련 과학기술정보통신부(이하 과기정통부)는 현재 법 개정을 추진하고 있는데, 1억원 이하 소자본의 알뜰폰 사업자까지 모두 의무대상에 포함돼 있어 관심이 집중되고 있다.
[이미지=gettyimagesbank]
이에 <보안뉴스>는 과기정통부 정보보호기획과 김연진 과장과의 인터뷰를 통해 알뜰폰 사업자의 보안수준을 끌어올리기 위한 종합대책의 구체적인 사안들을 하나씩 짚어봤다.
Q. 전담반(TF)에서는 알뜰폰 사업자의 보안 강화 대책 마련을 위해 보안점검, 시스템 보안강화 방안, 제도개선 방안 도출 등 전방위적인 대책을 논의하고 추진해왔다고 했는데요. 알뜰폰 사업자들의 현재 보안 실태는 어떤지 궁금합니다
개별 기업에 대해 자세한 내용은 말씀드리기 어렵지만, 일부 알뜰폰 사업자 대상으로 전반적인 보안수준에 대해 점검해본 결과, 일부 기업의 경우 암호화 알고리즘을 최신화하지 않거나 서버계정 관리를 부실하게 하는 등 보안 취약점이 확인된 바 있습니다. 해당 기업들에게는 관련 내용을 알리고 개선하도록 조치한 상황입니다.
알뜰폰 사업자 입장에서는 보안 강화가 비용 부담으로 작용될 수 있습니다. 그러나 휴대폰이 금융거래를 비롯해 국민들의 삶에 미치는 영향이 막대한 만큼 이에 상응하는 보안역량을 갖추는 것은 필수입니다. 이번 정부 대책을 부담이라고만 생각하지 마시고 알뜰폰 업계의 신뢰성을 제고시키는 계기라고 생각해 주시면 고맙겠습니다.
정부에서도 알뜰폰 업체들의 부담을 경감시키기 위해 중소기업기본법에 따른 소기업인 경우, 올해 7월말부터 시행 예정인 ISMS 간편 인증제도를 적용받도록 함으로써 인증항목과 수수료 부담을 덜어줄 예정입니다.
Q. 무엇보다 본인확인 우회 취약점 등 알뜰폰 업계의 주요 보안 이슈에 어떻게 대응하고 계신지요?
정부는 한국인터넷진흥원(KISA)과 함께 지난해 말부터 비대면 휴대폰 개통이 가능한 알뜰폰 업체들에 대해 본인확인 우회 취약점 발견 사실과 보안조치 방안을 통보하고, 개선하도록 수차례 요청했는데요. 초창기 점검에서는 일부 사업자들에서 취약점이 발견됐지만, 알뜰폰 사업자들의 자체 보안점검, 보완 과정을 거친 후 실시한 재점검 결과에서는 본인확인 우회 취약점으로 인한 타인 명의 비대면 부정개통이 가능하지 않은 것으로 확인됐습니다.
Q. 알뜰폰 시스템과 이통사 시스템을 연계해 이통사 시스템에서 한번 더 가입 신청자를 확인하도록 함으로써 본인확인을 우회해 타인 명의로 휴대폰 부정개통이 일어날 가능성을 차단했다고 하셨는데요
망을 임대해 사용하는 알뜰폰의 특성 상 이통통신 3사와 시스템적인 연결이 있을 수밖에 없습니다. 이에 따라 알뜰폰 사업자가 전달하는 정보에 대해 이동통신 3사가 해당 내용을 다시 한 번 확인하는 절차를 시스템으로 구현했다고 보시면 되겠습니다.
▲과학기술정보통신부 정보보호기획과 김연진 과장[사진=보안뉴스]
Q. 알뜰폰 사업자의 ISMS 인증 의무대상 기업 규모가 궁금합니다. 의무화 대상에서 제외될 수 있는 소규모 알뜰폰 사업자도 있나요?
정보보호관리체계(ISMS : Information Security Management System)의 경우, 정보자산 유출 및 피해 예방을 위해 기업 또는 기관이 스스로 구축·운영 중인 정보보호 체계가 적합한지 인증하는 제도로, 정보통신망법 제47조를 근거로 하고 있는데요.
현재 ISMS인증 의무대상은 △주요정보통신서비스 제공자 △집적정보통신시설 사업자 △전년도 정보통신서비스 부문 매출액 100억원 이상의 자 △전년도 일일평균 서비스 이용자수 100만명 이상의 자 등입니다.
2023년 말 기준 1,000개 기업 이상이 ISMS 인증을 받았는데요. 현재 기준 87개 MVNO 사업자 전체를 ISMS 인증 의무 대상자로 편입하는 법령 개정을 추진하고 있습니다.
알뜰폰 사업자의 경우 매출이나 이용자 수와 상관없이 모든 알뜰폰 사업자를 인증 의무대상에 포함시킬 예정입니다. 이를 위해 관련 법령 개정을 추진하고 있습니다. 또한, 정보보호 최고책임자(CISO : Chief Information Security Officer)는 기업에서 정보보호 계획의 수립·시행, 정보보호 실태의 정기적 감사, 정보보호 교육 및 모의훈련 시행 등의 업무를 수행하고 있습니다.
현재 신고 제외 대상으로 자본금 1억원 이하인 자, 중소기업기본법에 따른 소기업 등이 해당되는데, 알뜰폰 사업자에 대해서는 자본금이나 기업 규모와 상관없이 모두 신고의무 대상에 포함시킬 예정입니다.
이와 더불어 알뜰폰 사업을 영위하기 위해 현행 전기통신사업법령에 따라 재정적·기술적 능력, 이용자 보호계획, 그 밖에 사업계획서 등 시행령에서 정하는 사항을 갖춰 등록해야 하는데, 앞으로는 ISMS 인증 및 CISO 신고 계획을 등록시 제출하도록 의무화할 방침입니다.
Q. 이를 위한 법령 개정과 시행 계획 등 구체적인 일정은 어떻게 되나요?
올해 안으로 관련 법령인 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 시행령과 법 개정을 추진 중에 있습니다. 올해 중 관련 법령 개정이 완료되면 2025년 8월까지 ISMS 인증을 획득해야 하고, 180일 이내에 CISO 신고를 완료해야 합니다. 알뜰폰 사업자들이 ISMS 인증을 잘 준비할 수 있도록 교육도 진행할 예정입니다.
Q. 알뜰폰 사업자에 특화된 ISMS 인증 항목이 별도로 마련되나요?
금융보안원과 협업해 가상자산사업자용으로 특화해 개발한 가상자산 사업자용 ISMS 인증 사례처럼, 알뜰폰 사업자에게도 USIM을 개통하는 과정에서 본인확인 및 검증하는 과정을 강도 있게 점검하거나, USIM 개통과 관련된 정보보호 자산의 식별, 관련 시스템에 대한 접근통제, 인증 권한관리 등 특화된 인증항목을 개발해 적용하는 것을 검토하고 있습니다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>