ISMS 인증 의무 모든 사업자로 확대
이동통신 3사 시스템 연계…본인확인 이중화
소기업 대상 ‘간편인증’ 도입…ISMS 진입 부담 최소화
최근 알뜰폰 비대면 부정개통 피해가 늘어나면서 정부가 제도 개선에 나섰다. 우선 정보보호 관리체계(ISMS) 의무화 대상을 모든 알뜰폰 사업자로 확대해 알뜰폰 시스템 자체 보안 강화한다. 여기에 알뜰폰 시스템과 이동통신 3사 시스템을 연계, 본인확인을 이중화함으로써 부정개통을 원천 봉쇄한다.
과학기술정보통신부는 27일 세종시 정부세종청사에서 ‘알뜰폰 비대면 부정가입 방지 대책 관련 백브리핑’을 통해 국민 피해를 예방하기 위해 알뜰폰 비대면 부정가입 방지에 대한 종합적인 대책을 추진한다고 밝혔다.
기존 이동통신사보다 약 30% 이상 저렴한 요금제를 제공하는 알뜰폰은 온라인에서 비대면 방식으로 편리하게 가입할 수 있다.
그런데 일부 알뜰폰 사업자의 취약한 보안으로 인해 본인확인을 우회해 타인 명의로 휴대폰이 부정하게 개통되는 피해가 지속 발생하면서 사회문제로 떠올랐다.
과기정통부는 이러한 피해를 방지하고 강도 높은 종합 대책 마련을 위해 지난 3월부터 과기정통부에 관련 부서와 전문기관이 참여한 전담반(TF)을 구성・운영해왔다.
전담반에서는 온라인으로 휴대폰 가입이 가능한 알뜰폰에 대한 신속한 보안 점검, 시스템 보안 강화 방안 마련, 제도개선 방안 도출 등 전방위적으로 다양한 대책을 논의하고 추진해왔다.
우선 과기정통부와 한국인터넷진흥원은 온라인으로 휴대폰 개통이 가능한 모든 알뜰폰 사업자를 대상으로 본인확인 우회 취약점을 전면 점검했다. 또한 일부 사업자에 대해서는 주요 정보보호 관리체계 전반을 점검했다.
이날 발표를 맡은 김연진 과기정통부 정보보호기획과장은 “점검 항목들이 많이 있는데 그 중 서비스 측면에서는 암호 알고리즘을 업데이트를 하지 않은 업체들이 일부 있었다”며 “서버관리 등 인프라 측면에서도 미흡한 부분이 있었으며, 관리적 측면에서는 정보보호최고책임자(CISO) 지정 부실이 확인됐다”고 밝혔다.
이어 “보안 취약점이 발견된 업체에는 보안을 강화하도록 시정명령했다”며 “현재는 모든 알뜰폰 업체에서 본인확인 우회 취약점으로 인한 비대면 부정개통이 발생하지 않은 것으로 확인됐다”고 했다.
이동통신 3사도 알뜰폰 부정개통 방지를 위한 알뜰폰 시스템 개선에 동참했다. 알뜰폰 시스템과 이통사 시스템을 연계해 이통사 시스템에서 한 번 더 가입 신청자를 확인하도록 해 본인확인을 우회해 타인 명의로 휴대폰 부정개통이 일어날 가능성을 차단했다.
김 과장은 “이통사 망을 임대해서 사업을 하는 알뜰폰 사업자들은 사업 구조상 비대면 개통 과정에서 이통사에 개통을 요청해야 한다”며 “이 과정에서 이통사가 최종적으로 본인확인을 하도록 시스템을 연동했다”고 설명했다.
과기정통부는 시스템 개선뿐 아니라 알뜰폰 업계의 보안수준을 금융권 수준으로 강화하는 대책도 마련했다. 모든 알뜰폰 사업자가 정보보호 관리체계(ISMS) 인증을 받고 CISO 지정·신고하도록 제도를 개선할 예정이다.
제도 이행의 실효성 확보를 위해 알뜰폰 사업 등록 시 ISMS 인증 계획과 CISO 신고 계획도 제출하도록 의무화도 추진한다. 더불어 알뜰폰에 특화된 ISMS 항목을 개발하고 관련 법령을 개정한다.
ISMS는 기업의 보안수준 향상, 사고 예방 등을 위해 일정 수준 이상의 정보보호 체계 구축을 인증하는 제도다.
정보통신망법 제47조에 따르면 현행 ISMS 의무화 대상은 ▲주요정보통신서비스 제공자 ▲집적정보통신시설 사업자 ▲전년도 매출 등이 1500억 이상이거나 정보통신서비스 부문 매출이 100억원 이상 또는 전년도 일평균 서비스 이용자 수 100만명 이상인 자 중 대통령령으로 정하는 기준에 해당하는 자다.
과기정통부 관계자는 “현행법에 따라 현재 ISMS 인증을 받은 업체는 전체 알뜰폰 업체 80여곳 중 22곳 정도”라며 “시행령을 개정해 모든 알뜰폰 사업자들이 ISMS 인증을 받도록 제도를 개선할 것”이라고 말했다.
ISMS 의무화에 따라 영세 사업자들의 비용 부담이 늘어날 수 있는 만큼 관련 제도 개선도 추진한다. 김 과장은 “영세한 알뜰폰 사업자들의 부담 경감을 위해 소기업(정보통신서비스 부문 매출 50억원 미만)의 경우 간편인증을 적용받을 수 있도록 제도 개선을 추진 중”이라고 말했다.
이어 “또한 알뜰폰 사업자 대상 ISMS 구축 및 운영 교육을 실시해 ISMS 진입 부담을 최소화하도록 노력해나갈 예정”이라고 덧붙였다.
김 과장은 “정보보안은 정보통신서비스 기업이라면 당연히 해야 하는 기초적인 의무”라며 “ISMS 의무화를 부담으로 생각하지 말고 알뜰폰 업체 전반의 보안 수준을 높이는 계기로 생각해달라”고 강조했다.
류제명 과기정통부 네트워크정책실장은 “보안강화는 알뜰폰 업체들에게 비용부담이 될 수 있지만 휴대폰이 금융거래 등 국민들의 삶에 미치는 영향이 막대한 만큼 이에 상응하는 보안역량을 갖추는 것은 필수적”이라며 “이번 대책을 통해 알뜰폰 업계의 전반적 보안 수준이 크게 향상되기를 기대한다”고 말했다.
댓글0