【드래곤 스포츠】 보증업체놀이터추천홍보 : 프로그램제작판매제작의뢰 : 스포츠분석 : 무료스포츠중계tv : 섹시bj움짤 : 뉴스 : 안구정화

로그인

글쓰기

[IT뉴스]"돈내고 보안인증 받아도 줄줄이 해킹…ISMS 실효성 부족 지적"

온카뱅크관리자

2025-10-09 06:27:28

<div id="layerTranslateNotice" style="display:none;"></div> [미리보는국감 下]KISA 주관인증…"자격미달 기업도 받아 문제" "고위험 사업군 대상 제도 강화…취약점 점검·모의해킹 보완" 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="FvvbmcxpHX">
 <figure class="figure_frm origin_fig" contents-hash="650266078a5be96b5bbdfa6a6d9eeb1c600c3a5744b781cd1938243f9f8e49a3" dmcf-pid="3TTKskMUtH" dmcf-ptype="figure">
 <img alt="(사진은 기사 내용과 무관함) 최민희 국회 과학기술정보방송통신위원장이 24일 서울 여의도 국회에서 열린 제429회국회(정기회) 제5차 전체회의에서 의사봉을 두드리고 있다. 2025.9.24/뉴스1 ⓒ News1 이승배 기자" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202510/09/NEWS1/20251009062112168vqvy.jpg" data-org-width="1400" dmcf-mid="tAeC4bXDZZ" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202510/09/NEWS1/20251009062112168vqvy.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 (사진은 기사 내용과 무관함) 최민희 국회 과학기술정보방송통신위원장이 24일 서울 여의도 국회에서 열린 제429회국회(정기회) 제5차 전체회의에서 의사봉을 두드리고 있다. 2025.9.24/뉴스1 ⓒ News1 이승배 기자
 </figcaption>
 </figure>
 (서울=뉴스1) 윤주영 기자 = 과학기술정보통신부 산하 한국인터넷진흥원(KISA)이 주관하는 정보보호 및 개인정보보호 관리체계 'ISMS/ISMS-P'의 실효성 문제가 국정감사에서 다뤄질 것으로 보인다.
 9일 보안업계에 따르면 올해 해킹 피해를 입은 SK텔레콤(017670)·롯데카드·예스24·KT(030200) 등은 이 인증을 받았다.
 인증은 기업 등이 정보보호를 위한 일련의 조치를 제대로 했는지 KISA 혹은 인증기관이 검증하는 제도다. KISA 소관의 'ISMS'에 개인정보보호위원회의 개인정보 보호 관리체계 'PIMS'를 결합했다.
 올해 4월 SKT 유심정보 서버 해킹을 시작으로 굵직한 침해사고가 몰리면서, 인증의 실효성이 지적됐다. 당국이 수백만 원 수수료를 받고 인증을 내주지만, 정작 통과한 기업들은 고객·민감정보를 제대로 관리하지 못하고 있다.
 예를 들어 ISMS 기준에 따르면 종이·파일·모바일 기기 등을 통해 비밀번호를 기록∙저장하는 행위는 제한된다. 부득이하게 그래야 한다면, 암호화 등 보완책이 요구된다.
 하지만 인증을 통과한 SKT는 가입자 인증 서버(HSS) 관리용 계정 정보를 타 서버에 평문으로 저장했다. 해커는 이를 활용해 HSS 관리서버 및 HSS를 감염시킬 수 있었다.
 297만 명의 개인정보 유출 피해가 발생한 롯데카드도 올해 8월 인증을 통과했다. 하지만 인증이 무색하게도 그달 말 악성코드 감염 및 외부 유출 흔적이 드러났다.
 카드번호·유효기간·CVC 번호·비밀번호 등 부정 결제에 악용될 수 있는 정보까지 유출됐다. 위험 고객군은 약 28만 명으로 추산된다.
 특히 롯데카드의 경우 2017년에 패치까지 나온 오라클 웹로직 취약점을 손보지 않아 공격을 허용했다. 중대 취약점을 8년간 방치한 기업에도 보안 당국이 인증서를 내줬다는 의미다. 
 김승주 고려대 정보보호대학원 교수 등 업계는 인증 자체가 문제라기보단, 인증을 관리하는 체계의 부실함을 지적했다. 특히 체크리스트 위주의 형식적 인증에서 벗어나야 한다.
 김승주 교수는 "최근 해외 사례를 봐도 체크리스트 형태로 보안인증을 끝내는 경우는 없다"며 "최신 위협동향, 시나리오 등을 반영한 관리가 필요하다"고 주문했다. 
 현실과 동떨어진 보안인증 범위도 고민해야 할 문제다. KT 무단 소액결제의 핵심 수법인 초소형기지국(펨토셀)은 ISMS 인증범위에서 빠진 것으로 드러났다. KISA는 인력·예산 한계로 인해 말단 장비가 아닌 코어망 중심으로 인증을 진행했다고 해명했다.
 지적이 이어지자 KISA·개보위 등 보안당국을 중심으로 제도 개선에 나섰다.
 KISA 측은 "현행 ISMS는 기업 규모와 서비스 유형에 상관없이 모든 정보통신서비스 제공자에게 동일한 기준·기간을 적용한다는 문제가 있다"며 "기업의 규모, 서비스 중요도, 사고발생 시 사회적 파급력 등을 고려하는 방향으로 정책을 개선하겠다"고 말했다.
 파급력이 큰 고위험 산업군에는 강화된 인증체계를 적용한다는 의미다. 국회와 함께 구체적 계획·법안을 마련 중이며, 올해 안에 개선안을 발표하겠다고 덧붙였다. 
 또 KISA는 취약점 점검, 모의해킹 등 현장 중심으로 보안인증 점검을 강화한다는 방침이다.
 legomaster@news1.kr &lt;용어설명&gt; ■ 펨토셀 가정이나 소규모 사무실을 위한 초소형·저전력의 이동통신 기지국이다. 데이터 트래픽 분산이나 음영지역 해소의 목적으로 사용된다. 서비스 가능 반경은 통상 수십미터 이내다. ■ ISMS ISMS(정보보호관리체계·Information Security Management System)는 다양한 사이버 위협으로부터 기업·기관이 보유한 주요 정보자산을 체계적으로 보호하기 위해 수립하는 정책과 절차, 기술적·관리적 기준을 모두 포괄하는 보안 관리 프레임워크다. ■ ISMS-P 정보보호 및 개인정보보호 관리체계 
 </section> 
 </div> 
 Copyright © 뉴스1. All rights reserved. 무단 전재 및 재배포, AI학습 이용 금지.

댓글 총 0개

이번주 포인트랭킹

매주 일요일 밤 0시에 랭킹을 초기화합니다.

14,000상품권
23,000상품권
32,000상품권

업체홍보/구인 더보기

지식/노하우 더보기

판매의뢰 더보기

포토 더보기