국회 입법조사처 “통신사 정보보호 예산 비율 의무화해야”

지난 20일 서울 시내 한 에스케이(SK텔레콤) 공식 대리점에 유심 교체 관련 안내 포스터가 붙어 있다. 연합뉴스

국회입법조사처가 에스케이(SK)텔레콤 가입자 정보 유출 사고의 재발 방지를 위해 이동통신사의 정보보호 예산을 관련 예산의 일정 비율 이상으로 의무화해야 한다는 내용의 보고서를 내놓았다.

입법조사처는 21일 발간한 ‘이동통신사 해킹 사전 예방을 위한 정보보호 강화 방안’ 보고서에서 2012년과 2014년 케이티(KT), 2023년 엘지(LG)유플러스에 이어 지난달 에스케이텔레콤까지 이동통신사의 정보 유출 사고가 반복되는 점을 지적하며 “특정 국가나 조직이 이동통신사의 핵심 시스템을 해킹해 통신망을 장악하거나 마비시킬 경우 국가적 사이버 안보 위협으로 확산될 수 있다”고 강조했다.

보고서는 2년 전 엘지유플러스의 정보 유출 사고에도 불구하고 국내 이동통신 1위 사업자인 에스케이텔레콤이 “정보보호 투자에 소극적인 태도를 보였다”는 점을 꼬집었다. 지난해 에스케이텔레콤(약 600억원)과 유선통신 자회사 에스케이브로드밴드(약 267억원)는 정보보호 분야에 모두 867억원을 투자했다고 공시했는데, 이는 주요 경쟁사인 케이티의 투자액(약 1218억원)보다 적다.

입법조사처는 이동통신사의 정보보호 투자 확대를 유도하기 위해 정보기술 부문 예산의 일정 비율 이상을 정보보호에 투자하도록 노력할 의무를 명시하는 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’(정보통신망법) 개정 방안을 제언했다. 은행 등 금융사에 적용되는 ‘전자금융감독규정’(금융위원회 고시)은 올해 2월 개정 전까지 정보기술 부문 예산의 100분의 7 이상을 정보보호에 투자하도록 의무를 규정했다. 또 이동통신사 등 보안 고위험 산업에 대해선 정부의 정보보호 및 개인정보 보호 관리체계(ISMS-P) 인증 기준을 강화할 수 있는 근거를 법에 마련할 필요성도 지적했다.

아울러 입법조사처는 인증을 취득한 기업의 중대한 위법행위로 정보 유출 사고가 발생했을 때 인증을 취소하고 인증 미이행 땐 과징금을 부과할 수 있도록 하는 내용도 정보통신망법 개정안에 명시할 것을 요구했다. 이와 함께 이번에 사고가 난 에스케이텔레콤의 홈가입자서버(HSS)가 주요정보통신기반시설에서 제외됐던 것을 감안해 이동통신사의 주요 서버 등을 지정 대상에 포함하도록 정보통신기반 보호법을 개정하는 방안 등도 고려할 수 있다고 설명했다.

선담은 기자 sun@hani.co.kr

▶▶[한겨레 후원하기] 시민과 함께 민주주의를!

▶▶민주주의, 필사적으로 지키는 방법 [책 보러가기]

▶▶한겨레 뉴스레터 모아보기