“홈가입자서버도 국가통제”…정부, 통신 보안관리 대폭 강화

서버와 가입자 관리망 등 이동통신사의 핵심 설비들도 앞으로 정부의 주요정보통신기반시설 지정·감독을 받게 된다. 기존에는 네트워크 장비 중심의 보안관리 체계가 강조됐지만, 지난 4월 SK텔레콤 해킹 사건에서 홈가입자서버(HSS), 가입자 인증키 저장시스템 등 주요 서버가 피해를 입으면서 관리 사각지대가 드러난 영향이다. 이동통신 업계에 따르면 과학기술정보통신부는 이달 중 홈가입자서버와 관리망을 포함한 기반시설 지정 확대 방안을 최종 확정할 예정이다. SK텔레콤, KT, LG유플러스 등 모든 이동통신사들은 곧 관련 지침을 통보받는다.

주요정보통신기반시설은 국가, 사회의 중요 인프라로, 사이버 공격 시 국민생활·경제안정 등에 심각한 영향을 줄 수 있는 정보통신 설비와 제어 시스템을 뜻한다. 통신, 금융, 에너지, 운송 등 민간 영역까지를 포괄하며, 정보통신기반보호법에 따라 지정·관리된다. 과기정통부와 국가정보원은 각 기관에 보호대책 이행 여부를 점검하고, 관리 체계 개선을 강제할 수 있다.

통신 부문에선 그간 외부 네트워크 접점과 전송장비 위주 관리가 이뤄졌으나, 최근 가입자 인증·개인정보 처리 서버가 사이버공격 타깃이 된다는 점이 부각됐다. 특히 지난 해킹 사건 때 HSS와 가입자 인증 서버는 실제로 핵심 개인정보를 저장·처리하는 설비였으나, 기존 보호대상에 포함되지 않아 지정 체계의 한계가 노출됐다. 이에 따라 이통3사가 관리해야 할 기반시설 수는 현행 대비 약 6배가량 증가할 것으로 전망된다.

과기정통부도 “앞으로는 내부 데이터 저장·처리 서버, 각종 관리망까지 주요 기반시설로 모두 지정해 최근 사이버 침해 흐름에 능동 대응할 방침”이라 밝히며, 플랫폼 등 기타 중요 정보처리 인프라로 확대 지정도 검토하고 있다.

취약점 평가·보안 점검 기준도 현실에 맞춰 강화된다. 과기정통부는 ‘주요정보통신기반시설 취약점 분석·평가 기준’ 개편을 통해, 운영기관이 시행해야 할 점검항목을 세분화했다. 종전 9개 기술 영역에서 웹서비스, 가상화장비, 클라우드 등 신기술을 포함한 12개로 대상이 늘게 된다. 또한 재검토 및 보안 점검 주기도 각 조문별로 다르던 것을 3년으로 통일해 실효성을 높였다. 일부 항목은 중요도를 ‘상’ 등급으로 상향, 의무 점검범위가 확대됐다.

통신업계와 전문가들은 이번 조치가 국가정보통신 보호 체계의 근본적 전환점이 될 수 있다고 본다. “정보통신기반시설 지정 범위가 현실에 맞게 넓어져야 한다”는 요구가 높았던 만큼, 가입자 정보와 중요한 데이터 처리 인프라에 대한 보호가 강화될 것으로 보인다. 반면 기반시설로 지정되는 설비가 많아지면서 기업 부담과 현장 적용의 난이도도 커질 수 있다는 우려가 나온다.

산업계는 이번 기술·관리 체계가 실제 현장에 빠르게 안착할지, 그리고 사이버 위협 대응력 강화로 이어질지 예의주시하고 있다. 궁극적으로 정보보호 규제와 산업 혁신 간의 균형이 중요하다는 지적도 있다.