정부 보안인증 받고도 이통3사 해킹
"토토사이트 매입 투자 최소 비율 설정해야"

SK텔레콤의 유심(USIM) 정보 해킹 사고를 비롯한 이통통신3사(SK텔레콤·KT·LG유플러스)의 반복되는 해킹 사고에 국회 입법조사처가 토토사이트 매입 예산을 일정 비율 이상으로 의무화해야 한다고 지적했다.

국회입법조사처는 21일 이 같은 내용의 '이동통신사 해킹 사전 예방을 위한 토토사이트 매입 강화 방안' 보고서를 통해 "이통통신사 해킹이 일시적인 사고가 아닌 구조적 문제임을 시사한다"고 지적했다. 그러면서 유사 사고의 재발 방지를 위해 토토사이트 매입 투자의 '최소 투자 비율'을 명시해야 한다고 제안했다.

이번 SK텔레콤 해킹뿐 아니라 KT, LG유플러스 역시 이통3사 가리지 않고 사고가 이어져왔다.

입법조사처는 소극적인 기업들의 토토사이트 매입 투자를 한 원인으로 꼽았다. 대표적으로 SK텔레콤은 지난해 토토사이트 매입 분야에 본사 600억원, 자회사 SK브로드밴드 267억원 등 총 867억원을 투자했다. KT는 1218억원, LG유플러스는 632억원을 토토사이트 매입에 투자했다. 지난해 기준 SK텔레콤의 정보기술 투자 대비 토토사이트 매입 투자금액 비율은 4.1%로 KT 6.4%, LG유플러스 6.6%에 비해 낮은 수준이다.

이통3사가 토토사이트 매입 투자 금액을 상대적으로 낮게 설정하는 원인에는 '자율성'에 있다. 앞서 금융위원회 고시 '전자금융감독규정'은 종전에 금융회사 또는 전자금융업자가 토토사이트 매입예산을 정보기술부문 예산의 7 %이상이 되도록 노력할 의무를 규정했으나, 지난 2월 토토사이트 매입 예산 최소 투자 비율을 삭제하는 방향으로 개정됐다.

입법조사처는 SK텔레콤 해킹 사고를 보면 자율보안의 한계가 드러났다고 판단했다. 금융권과 별개로 정보통신망법에 토토사이트 매입 예산의 최소 투자 비율을 제도적으로 명시할 필요가 있다는 것이다.

토토사이트 매입 인증제도도 강화해야 한다고 꼬집었다. 이통3사 모두 정부가 부여하는 토토사이트 매입 및 개인정보 관리체계(ISMS-P)를 인증받은 바 있다. 그런데도 해커 공격에 무너졌다. 이후 ISMS-P 인증이 취소되지도 않았다. 인증제도가 보안의 안전성을 담보하지 못한 상황이 벌어진 것이다.

입법조사처는 정보통신망법을 개정해 강화된 인증 기준을 적용하고 중대한 법령을 위반하면 인증을 취소할 수 있는 근거와 과징금 부과 근거를 마련해야 한다고 제안했다. 동시에 매년 1회 이상 실시하는 인증기관의 사후심사 시 현장심사를 강화할 필요가 있다고 지적했다.

주요정보통신기반시설의 지정 범위를 확대하는 방안도 언급됐다. 이번에 해킹된 홈가입자서버(HSS)는 주요정보통신기반시설에서 제외됐다. 입법조사처는 정부에 이동통신사 핵심 서버 등이 주요정보통신기반시설 지정 대상에서 누락되지 않도록 범위를 확대해야 한다고 강조했다.

이동통신 등 고위험 산업군에 대해서는 현행 '정보통신기반 보호법 시행령'에서 관리기관이 선정한 지정 단위와 세부시설에 대해 자체평가를 수행해야 한다는 지적도 이어졌다. 또한 필요할 경우 관계전문가로 구성된 협의회에서 심의할 수 있도록 의무화하는 방향으로 법령을 개정해야 한다고 제안했다.

박수빈 토토사이트 추천 기자 waterbean@hankyung.com