펨토셀 등 보안 사각지대…이해민 "ISMS-P 인증범위 넓혀야"

[디지털데일리 강소현기자] 최근 연이어 발생한 해킹사고의 주요 원인이 된 이동통신 핵심설비들을 ISMS/ISMS-P 인증 범위에 포함시켜야 한다는 주장이 제기됐다.

25일 국회 과학기술정보방송통신위원회(이하 과방위) 소속 이해민 의원(조국혁신당)이 한국인터넷진흥원(KISA)으로부터 제출받은 ‘ISMS-P 인증제도 안내서’에 따르면, 정보통신망서비스제공자(ISP)의 ISMS-P 설비 인증범위는 IP 기반의 인터넷 연결을 위한 정보통신설비 및 관련 서비스를 제공하기 위한 정보통신설비로 규정돼 있다.

즉, 초소형 이동통신기지국(펨토셀)과 무선 기지국 역시 ISMS-P 설비 인증범위에 포함돼야 하지만, 실제 인증심사에서는 제외되고 있었다.

이에 대해 KISA는 인력·예산 한계 때문이라 밝힌 가운데, 무선 기지국과 팸토셀 같은 설비가 보안 사각지대로 남아있는 부분을 이 의원은 지적했다.

기업들이 수천만 원에 달하는 인증비용과 인력 투입을 감수하고 있음에도 불구, ISMS-P 제도의 실효성이 상대적으로 떨어지는 부족도 지적됐다.

이해민 의원은 “이번 해킹 피해 기업들 모두 ISMS 또는 ISMS-P 인증을 받은 곳이었다”라며 “국민들은 정부 인증을 신뢰하고 그 신뢰를 기반으로 기업 서비스를 이용하지만 지금과 같은 현실과 동떨어진 인증 기준과 기업 자율에 맡겨진 형식적 검토만으로는 실제 보안수준을 높일 수 없다”고 비판했다 .

이어 “ISP 사업자의 경우 코어망 외부에서도 보안사고가 발생하고 있는 만큼 인증범위를 확대해야 한다”며 “형식적 서류심사·체크리스트 위주의 인증이 아니라 실제 해킹 위협 시나리오 기반으로 보안관리 체계를 전면 개편해야 한다”고 강조했다

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -