[단독]정부 "통신사 보안계획 제출 의무화 추진"…SKT 해킹 재발 막는다

과기정통부, '통신망 보호법' 국회 보고
현행 '자율점검'은 사전예방 한계 있어

이통사 특화 통신망 보안의무 법에 명시
심사 서면→현장 전환, 모의훈련 의무화

"기간산업은 일반적인 보안 이상 필요"
다만 업계에선 '규제 위한 규제' 부담

정부가 SK텔레콤 유심 해킹 사태 이후 주요 통신사의 보안계획 제출을 법적으로 의무화하는 방안을 추진하는 것으로 확인됐다. 지금까지는 SKT·KT·LG유플러스를 포함한 통신사들이 보안계획을 자율적으로 세우고 시행했는데, 앞으로는 정부가 직접 계획을 받아 점검하는 체계로 전환하겠다는 것이다. 이를 지키지 않으면 처벌하겠다는 입장이다. 이동통신업계는 "규제를 위한 규제가 될 것"이라며 부정적인 입장을 취하고 있어 법제화까지 진통이 예상된다.

아시아경제가 25일 이해민 조국혁신당 의원실을 통해 입수한 자료에 따르면 과학기술정보통신부는 '통신 네트워크 정보보호에 관한 법률(가칭)'을 제정하거나 정보통신망법·전기통신사업법에 주요 통신사의 통신망 보안을 별도로 규율하는 조항을 신설하는 방안을 마련하고 이달 중순 국회 과학기술정보방송통신위원회'에 보고했다.

정부 방침의 핵심은 이통사에 특화된 보안 의무를 법에 명시해 강제성을 부여하는 것이다. 그동안 통신사들은 정보통신망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률)과 전기통신사업법에 따라 보안 관리를 해왔지만 정부에 보안계획을 제출할 법적 의무는 없었다. 현행 정보통신망법에 따른 '정보보호조치에 관한 지침(과기정통부 고시)'은 통신사들이 스스로 보안조치를 세우고 이행 여부를 점검하도록 허용하고 있으며 전기통신사업법 제32조 10도 "기간통신사업자는 서비스의 안정적 제공을 위해 기술기준에 적합한 기술적·관리적 조치를 해야 한다"고 명시했을 뿐 구체적인 보안계획 수립·제출 의무는 없다.

정부가 이들 통신사의 보안계획 제출을 법에 명시키로 한 건 사전 예방에 한계가 있다는 판단 때문이다. 현행 자율 점검 구조로는 보안사고를 미리 감지해 막기가 어렵다고 본 것이다. 해킹사고가 발생한 SKT는 정부가 부여하는 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 받고 있었지만 홈가입자서버(HSS) 해킹을 막지 못했다. ISMS-P 인증 기준에 따르면 통신사들은 침해사고 예방 체계를 구축하고 취약점 스캔·분석, 보안관제 서비스 운영, 중요 데이터의 정기적 백업 등의 절차를 갖춰야 한다. 하지만 SKT는 이런 절차를 모두 갖추고 인증을 받았음에도 HSS 서버 해킹을 사전에 탐지하지 못했고 해커의 핵심 시스템 침투를 차단하지 못했다.

국회입법조사처는 지난달 발간한 '이동통신사 해킹 사전 예방을 위한 정보보호 강화 방안' 보고서에서 "인증 기준상 요구되는 절차가 실제 현장에선 제대로 작동하지 않았다"고 지적했다.

업체의 자율 규제는 통신사들의 보안 투자 격차도 벌렸다. 지난 2023년 SKT의 정보보호 투자액은 자회사 SK브로드밴드와 합쳐 867억원으로, IT 투자 대비 4.2%에 불과했다.

정부는 통신사의 통신망 보안조치 의무를 대폭 강화하기 위해 보안관리 계획서를 정부에 작성·제출하고 모의훈련을 정기적으로 의무 실시하는 내용을 포함했다. 또 통신망 인프라에 특화된 보안 조치도 시행토록 할 방침이다. 이와 함께 통신사들이 보안 조치를 제대로 하고 있는지 상시 점검하는 시스템도 새로 만들 계획이다. 보안 의무를 지키지 않은 통신사에는 시정명령이나 이행강제금을 부과하는 등 처벌도 가능하도록 할 방침이다. 이와 관련해 정부는 보안의무 위반 시 매출액의 최대 10%를 제재금으로 부과하는 영국 통신법을 참고한 것으로 전해졌다.

정부는 정보보호 인증 심사를 기존 서류 심사 위주에서 현장 기술 심사 방식으로 바꾸고 통신사 전용 점검 항목을 새로 만들어 실효성을 높일 방침이다. 새로 도입될 통신사 전용 점검 항목으로는 중요 시스템 백업 자료를 최소 1년 이상 보관·관리 의무화, 공개용 웹서버 접속 시 이중 인증 시스템 적용, 취약점 분석·평가를 위한 자체 전담팀 구성 등이 검토된다.

정부는 올해 안에 법안을 마련하고 의견 수렴을 끝낼 계획이다. 이를 위해 하반기 중 대학·연구소·업계 전문가로 구성된 연구반을 구성하고 의견수렴 과정을 거쳐 최종 입법 방향을 결정할 예정이다.

다만 통신업계에서는 이런 조치가 '규제를 위한 규제'가 될 수 있다는 우려가 나온다. 통신업계 관계자는 "최근 SKT 해킹 사태를 계기로 자율로 하던 것을 의무화해 이통사들이 보안투자를 축소하지 못하게 하는 의도로 보인다"면서 "보안계획을 제출했는데 추가로 방대한 자료를 요구한다거나, 모의훈련 결과를 보고 문제 삼는다거나 한다면 그 과정에서 인력이 많이 투입돼야 해 부담"이라고 말했다.

이 의원은 "국민 생활 전반에 영향을 미치는 기간산업의 보안은 일반적인 수준의 대응으로는 충분하지 않다"며 "이번 기회에 법과 제도 전반에 대한 정비가 반드시 이뤄져야 한다"고 강조했다.

박유진 기자 genie@asiae.co.kr
전영주 기자 ange@asiae.co.kr