"10년째 반복된 해킹, 막아야…" 국회, 이통사 보안체계 정조준

10년 넘게 반복된 이동통신사(이하 이통사) 해킹 사고에 국회가 제도 개선에 본격적으로 나섰다. 국회입법조사처는 최근 발간한 '이슈와 논점' 보고서를 통해 이통사의 정보보호 체계 미비와 제도적 한계를 짚으며, 정보통신망법 개정과 인증 제도 정비, 기반시설 재지정을 골자로 한 대대적인 법제 개선 방안을 제시했다.

해당 보고서는 지난 4월 SK텔레콤의 홈가입자서버(HSS) 해킹을 계기로 마련됐다. 이 사건은 유심 복제에 활용 가능한 가입자식별키(IMSI) 등 핵심정보가 포함된 서버가 해킹돼, 국내 이통사 역사상 주목할 만한 보안 사고로 꼽힌다.

보고서는 SKT의 정보보호 투자 부족을 핵심 원인 중 하나로 지목했다. 2024년 기준 SKT의 정보보호 투자액은 600억 원으로, KT(1218억 원)의 절반 수준이고 LG유플러스(632억 원)에도 못 미친다. 정보기술 투자 대비 정보보호 예산 비율도 SKT는 4.1%에 불과해, KT(6.4%)와 LGU+(6.6%)에 비해 낮은 수준이다. 보고서는 정보보호 예산을 IT 예산의 일정 비율 이상으로 설정하도록 정보통신망법에 명시하는 방안을 제안했다.
정보보호 인증 제도의 실효성도 도마 위에 올랐다.

SKT는 정부가 부여한 ISMS-P(개인정보 및 정보보호 관리체계) 인증을 받은 상태였지만, 이번 해킹으로 인증 제도의 실효성에 의문이 제기됐다. 보고서는 고위험 산업군에 대해 인증 기준을 강화하고, 중대한 법 위반 시 인증을 취소할 수 있도록 정보통신망법 개정을 검토해야 한다고 밝혔다.

보호 대상 기반시설 지정 체계도 재정비가 요구된다. 이번에 해킹된 HSS 서버는 통신망 혼란을 초래할 수 있는 핵심 인프라이지만 주요정보통신기반시설로 지정돼 있지 않았다. 보고서는 '정보통신기반 보호법 시행령' 개정을 통해 이동통신사의 핵심 서버를 기반시설로 포함하고, 지정 절차에 정부 검토 및 외부 전문가 협의회 심의를 의무화할 것을 제안했다.

국회는 향후 정보보호 예산 비율 의무화와 인증 실효성 제고, 기반시설 지정 확대 등을 중심으로 정보통신망법 및 관련 시행령 개정 논의에 착수할 전망이다.

SKT 해킹 사고를 계기로 이제는 "기업 자율에만 맡길 수 없다"라는 여론이 높아지는 가운데, 반복된 해킹 악순환을 끊을 제도 개편이 이뤄질 수 있을지 주목된다.

한편 SK텔레콤은 자사 뉴스룸 브리핑을 통해 지난 26일 기준 유심(USIM) 교체 누적 건수가 428만 건에 달했다고 밝혔다. 지난 19일부터 24일까지는 하루 평균 30만 건 이상의 교체가 이어졌으나, 26일에는 11만 건으로 급감했다. 아울러 SK텔레콤은 ‘찾아가는 유심 교체 서비스’ 운영 결과를 공유하며, 서비스 시행 첫 일주일 동안 도서·산간 지역 42개소를 방문해 약 1만1천 건의 유심을 교체했다고 설명했다. 이어 "오는 일주일 간 정선, 거제, 진도, 태안, 완도 등에 위치한 전국 50여 개소를 추가로 방문할 예정"이라고 덧붙였다.


김지유 글로벌이코노믹 기자 tainmain@g-enews.com