“펨토셀, ISMS-P 사각지대”…KT 사건 계기로 보안제도 대수술 예고

초소형 이동통신기지국인 펨토셀(펨토셀, Femtocell)이 KT 소액결제 해킹 사건의 주요 수단으로 밝혀지면서, 국내 정보보호 체계의 구조적 허점이 다시 도마에 올랐다. 펨토셀 및 무선기지국 같은 핵심 설비가 정보보호관리체계(ISMS, Information Security Management System)와 개인정보보호관리체계(ISMS-P) 인증 범위에서 빠져 있었던 사실이 드러나며, 제도의 근본적인 개편 필요성이 대두된다. 업계는 이번 사태를 ‘플랫폼 보안 체계 개혁의 분기점’으로 해석하고 있다.

이번 논란은 국회 과학기술정보방송통신위원회 소속 이해민 의원이 KT를 비롯한 통신사의 펨토셀·무선기지국 등이 현행 ISMS·ISMS-P 인증 기준에서 심사 대상에서 빠져 있음을 지적하면서 수면 위로 떠올랐다. 관련 제도 안내서상 설비의 정의엔 초소형 이동통신기지국도 포함되지만, 실제 심사 현장에선 코어망 등 중심 설비에만 정보보호 인증이 적용되는 구조였다. 한국인터넷진흥원(KISA)은 인력과 예산 한계를 근거로 무선기지국 보안 인증을 제외하고 있다고 설명했으나, 이는 설비의 기능적 안전성만 점검하는 중앙전파관리소 검사와 달리 보안성 검증을 하지 않아 사각지대가 발생한 것으로 분석된다.

특히 이번 기술은 기존 통신 설비 보안의 ‘계층별 인증’ 관행의 한계를 드러냈다. 해킹 공격은 코어망뿐 아니라, 지점별·현장설비를 우회해 이뤄질 수 있지만, 인증 체계는 이에 대응하지 못하고 있는 실정이다. 기존 방식대로 ISMS-P 인증 비용과 인력을 투입하는 기업들이 정작 가장 취약한 구간은 제도 밖에 놓여 있다는 점에서 실효성에 대한 회의론도 확산되고 있다.

업계 내에서는 미국, 유럽 등 정보보호 인증제도가 기술 발전‧위협 시나리오에 맞춰 지속적으로 인증 영역을 넓히고 규범을 강화하는 상황에서, 국내 제도가 현실과 괴리돼 있다는 지적이 나온다. 기업·국민 모두 정부 인증 체계에 대한 신뢰로 서비스를 이용하고 있는 만큼, 인증의 실질적 내용이 근본적으로 재정비돼야 한다는 목소리가 높아지고 있다.

아울러, 인증서 발급을 위한 서류 위주의 점검에 머무르지 않고, 실제 해킹 침해 시나리오와 진화하는 공격 수법에 맞춘 보안관리체계로 변환이 요구된다. ISMS-P 인증이 더 이상 ‘비용 대비 효과 없는 탁상행정’이 아니라, 현장의 위협분석을 반영해 상시 개편되는 구조로 발전해야 한다는 의견이 힘을 얻고 있다.

전문가들은 “펨토셀 등 현장설비까지 망라된 보안 인증 체계 개편 시점이 정보통신 산업의 근간을 좌우할 전환점이 될 것”이라고 평가한다. 산업계는 이번 해킹 사태를 계기로 인증 범위와 검증 방식을 대폭 재점검하는 작업이 실제 시장 신뢰를 회복할 열쇠가 될지 주시하고 있다.