(서울=뉴스1) 윤주영 나연준 이기범 기자 = 한국인터넷진흥원(KISA)이 주관하는 보안인증 '정보보호 및 개인정보보호 관리체계(ISMS/ISMS-P)'에 사각지대가 있어, 해킹 장비가 무분별하게 유입·유통되고 있다는 지적이다.
13일 정부세종청사에서 국회 과학기술정보방송통신위원회가 진행한 과기정통부 대상 국정감사에선 이런 내용이 공유됐다.
조인철 더불어민주당 의원은 미국 온라인쇼핑몰 통해 구매했다는 USB 케이블 형태의 '스파이칩'으로 컴퓨터를 해킹하는 것을 시연했다.
조 의원은 "미국에서 주문했고 단돈 20만 원도 안 한다. 통관을 거쳐 들어오는 과정에서 누구도 제지하지 않았다"며 "만약 이런 케이블이 과기정통부 직원 등 누군가의 컴퓨터에 꼽혀있다면 사태가 심각하지 않겠나"라고 꼬집었다.
조 의원은 KISA의 ISMS 인증 항목이 통신·보안 장비의 유통 현황과 동떨어진 게 문제라고 꼬집었다.
이해민 조국혁신당 의원 역시 최근 KT(030200) 무단소액결제 사태에 악용된 초소형기지국(펨토셀)이 ISMS 항목에서 누락된 점을 지적했다. 예산·인력 한계로 인해 말단 장비가 아닌 코어망 중심으로 인증을 운영해왔다는 게 KISA의 입장이다
ICT 분야를 관장하는 류제명 과기정통부 제2차관은 "ISMS 80개 항목 중 스파이칩 관련해서 구체적인 건 없는 거 같다"고 말했다.
조 의원은 "누구나 쉽게 접근할 수 있는 장비로 정부 어느 네트워크에도 침입할 수 있는 위험이 있다. 실제로 프랙매거진 등 보안업계에 따르면 최근 한국의 주요 부처 상당수가 해킹 피해를 입은 것으로 드러났다"며 "이번 사태를 계기로 (ISMS 등 점검 시스템 관련해서) 대책을 마련해야 한다"고 주문했다.
한편 올해 SK텔레콤(017670)·롯데카드·예스24·KT(030200) 등 ISMS 인증을 받은 기업들이 줄줄이 해킹을 당하면서 제도의 실효성이 문제시되고 있다. 인증이 재해복구 항목을 담고 있음에도, 백업 대책이 미진한 대전 국가정보자원관리원마저 한달 전 이 인증을 통과했다.
KISA는 파급력이 큰 고위험 산업군을 대상으로 강화된 인증체계를 적용하겠다는 방침이다. 국회와 함께 구체적 계획·법안을 마련 중으로, 올해 안에 개선안을 발표하겠다고 덧붙였다.
이 밖에도 취약점 점검, 모의해킹 등 현장 중심으로 보안인증 점검을 강화할 것을 약속했다.
legomaster@news1.kr
