아시아경제가 25일 이해민 조국혁신당 의원실을 통해 입수한 자료에 따르면 과학기술정보통신부는 '통신 네트워크 정보보호에 관한 법률'(가칭)을 제정하거나 정보통신망법·전기통신사업법에 주요 통신사의 통신망 보안을 별도로 규율하는 조항을 신설하는 방안을 마련하고 이달 중순 국회 과학기술정보방송통신위원회'에 보고했다.
정부 방침의 핵심은 이통사에 특화된 보안 의무를 법에 명시해 강제성을 부여하는 것이다. 그동안 통신사들은 정보통신망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률)과 전기통신사업법에 따라 보안 관리를 해왔지만 정부에 보안계획을 제출할 법적 의무는 없었다. 현행 정보통신망법에 따른 '정보보호조치에 관한 지침'(과기정통부 고시)은 통신사들이 스스로 보안조치를 세우고 이행여부를 점검하도록 허용하고 있으며 전기통신사업법 제32조 10도 "기간통신사업자는 서비스의 안정적 제공을 위해 기술기준에 적합한 기술적·관리적 조치를 해야 한다"고 명시했을 뿐, 구체적인 보안계획 수립·제출 의무는 없다.
정부가 이들 통신사의 보안계획 제출을 법에 명시키로 한 건 사전 예방에 한계가 있다는 판단 때문이다. 현행 자율 점검 구조로는 보안사고를 미리 감지해 막기가 어렵다고 본 것이다. 해킹사고가 발생한 SKT는 정부가 부여하는 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 받고 있었지만 홈가입자서버(HSS) 해킹을 막지 못했다. ISMS-P 인증 기준에 따르면 통신사들은 침해사고 예방 체계를 구축하고 취약점 스캔·분석, 보안관제 서비스 운영, 중요 데이터의 정기적 백업 등의 절차를 갖춰야 한다. 하지만 SKT는 이런 절차를 모두 갖추고 인증을 받았음에도 HSS 서버 해킹을 사전에 탐지하지 못했고, 해커의 핵심 시스템 침투를 차단하지 못했다.
국회입법조사처는 지난달 발간한 '이동통신사 해킹 사전 예방을 위한 정보보호 강화 방안' 보고서에서 "인증 기준상 요구되는 절차가 실제 현장에선 제대로 작동하지 않았다"고 지적했다.
업체의 자율 규제는 통신사들의 보안 투자 격차도 벌렸다. 지난해 기준 SKT의 정보보호 투자액은 600억원으로 IT 투자 대비 4.1%에 불과했다. 이는 KT(1218억원, 6.4%), LGU+(632억원, 6.6%)보다 현저히 낮은 수준이다.
정부는 통신사의 통신망 보안조치 의무를 대폭 강화하기 위해 보안관리 계획서를 정부에 작성·제출하고 모의훈련을 정기적으로 의무 실시하는 내용을 포함했다. 또 통신망 인프라에 특화된 보안 조치도 시행토록 할 방침이다. 이와 함께 통신사들이 보안 조치를 제대로 하고 있는지 상시 점검하는 시스템도 새로 만들 계획이다. 보안 의무를 지키지 않은 통신사에는 시정명령이나 이행강제금을 부과하는 등 처벌도 가능하도록 할 방침이다. 이와 관련해 정부는 보안의무 위반시 매출액의 최대 10%를 제재금으로 부과하는 영국 통신법을 참고한 것으로 전해졌다.
정부는 정보보호 인증 심사를 기존 서류 심사 위주에서 현장 기술 심사 방식으로 바꾸고 통신사 전용 점검 항목을 새로 만들어 실효성을 높일 방침이다. 새로 도입될 통신사 전용 점검 항목으로는 중요 시스템 백업 자료를 최소 1년 이상 보관·관리 의무화, 공개용 웹서버 접속 시 이중 인증 시스템 적용, 취약점 분석·평가를 위한 자체 전담팀 구성 등이 검토된다.
정부는 올해 안에 법안을 마련하고 의견 수렴을 끝낼 계획이다. 이를 위해 하반기 중 대학·연구소·업계 전문가로 구성된 연구반을 구성하고 의견수렴 과정을 거쳐 최종 입법 방향을 결정할 예정이다.
https://n.news.naver.com/article/277/0005612960?sid=105
