통신*방송

[일문일답] "알뜰폰도 고객 정보 보호 의무 다해야'"

강소현 기자
김연진 과학기술정보통신부(이하 과기정통부) 정보보호기획과장이 27일 정부세종청사에서 '알뜰폰 비대면 부정가입 방지대책' 관련 백브리핑을 진행하고 있다. [ⓒ 과학기술정보통신부]
김연진 과학기술정보통신부(이하 과기정통부) 정보보호기획과장이 27일 정부세종청사에서 '알뜰폰 비대면 부정가입 방지대책' 관련 백브리핑을 진행하고 있다. [ⓒ 과학기술정보통신부]

[디지털데일리 강소현기자] "알뜰폰 업계는 국민 피해를 방지하기 위해 정보 보호 및 보안 강화에 힘써야 합니다."

김연진 과학기술정보통신부(이하 과기정통부) 정보보호기획과장은 27일 정부세종청사에서 진행된 '알뜰폰 비대면 부정가입 방지대책' 관련 백브리핑에서 "알뜰폰 사업자에 비용 부담이 될 순 있지만, 정보 보안은 정보통신서비스 기업의 기초적인 의무"라며 이 같이 밝혔다

과기정통부는 이날 알뜰폰 비대면 개통과정에서 부정개통으로 인한 국민 피해를 예방하기 위한 종합 대책을 발표했다. 모든 알뜰폰 사업자가 ISMS(정보보호 관리체계) 인증을 받고 CISO(정보보호 최고책임자)를 지정·신고하도록 한 것이 골자다. 이를 이행하지 않는 경우 과태료 처분을 내린다는 방침이다.

또 알뜰폰 시스템과 이통사 시스템을 연계해 이통사 시스템에서 한번 더 가입 신청자를 확인하도록 해, 본인확인을 우회해 타인 명의로 휴대폰 부정개통이 일어날 가능성을 차단한다.

김 과장은 "영세한 알뜰폰 사업자의 부담을 경감하기 위해 소기업의 경우 간편인증을 적용받을 수 있도록 하고, ISMS 구축 운영 교육도 실시해 (사업자들의) 진입 부담을 최소화하기 위해 같이 노력하겠다"라며 "ISMS 인증을 부담으로만 생각하지 마시고, 알뜰폰 업체의 전반적인 보안수준을 높이는 계기라고 생각해 주시면 감사하겠다"고 당부했다.

다음은 김연진 과학기술정보통신부 정보보호기획과장과의 일문일답.

Q. 이동통신사의 시스템과 어떻게 연계하나

A, (김연진 정보보호기획과장) 알뜰폰 업체는 이통사 망을 임대해서 사업을 하고 있다. 비대면 개통 시 이통사에 요청해야 한다는 알뜰폰의 사업 구조를 감안해, 이통사가 알뜰폰을 개통하기 전 본인 확인을 한 번 더 하도록 시스템을 연동할 계획이다.

Q. 구체적으로 어떻게 보안역량 강화가 추진됐나

A. (김연진 정보보호기획과장) 클라이언트 단에서가 아닌, 서버 단에서 본인확인을 할 수 있도록 시스템 개선을 요청했고, 대부분 업체가 개선 조치 완료된 상태다.

Q. 현재 ISMS 인증을 받고 있는 (알뜰폰) 사업자가 있나

A. (김연진 정보보호기획과장) 현재 ISMS 인증을 받고 있는 알뜰폰 사업자는 22개다. 즉, 모든 알뜰폰 사업자가 인증받고 있는 것은 아니다. 다만 알뜰폰 업체의 보안 강화를 위해 제도 개선을 추진해서 전체 알뜰폰 사업자들이 정보보호 관리체계 인증을 받도록 할 계획이다.

Q. ISMS 구축 과정에서 발생하는 비용적 부담에 대해 어떻게 지원하나

A. (김연진 정보보호기획과장) 영세한 알뜰폰 사업자의 부담을 경감하기 위해 소기업의 경우 간편인증을 적용받을 수 있도록 제도 개선이 추진 중에 있다. 현행법상 매출액 50억원 미만의 알뜰폰사가 소기업에 해당된다. 간편인증 적용받을 수 있도록 7월 중 법 개정도 이뤄질 예정이다. 이 외에도 ISMS 구축 운영 교육도 실시해 (사업자들의) 진입 부담을 최소화하기 위해 같이 노력하겠다. ISMS 인증을 부담으로만 생각하지 마시고, 알뜰폰 업체의 전반적인 보안수준을 높이는 계기라고 생각해 주시면 감사하겠다.

Q. 정부가 전담반을 구성해 운영한 결과 알뜰폰 업체들에서 어떤 취약점이 발견됐나

A. (김연진 정보보호기획과장) 서비스 측면에선 암호 알고리즘을 업데이트 하지 않은 업체가 일부 발견됐다. 서버 개선 관리가 미흡한 측면도 있었다. 관리 부분에선 정보보호 최고책임자(CISO)를 지정하지 않은 업체를 확인했다. 취약점이 발견된 업체들에 대해선 보안을 강화하도록 시정명령을 내렸다. 이에 지금 현재는 모든 알뜰폰 업체에서 본인 확인 우회 취약점으로 인한 비대면 부정 개통이 발생하지 않은 것으로 확인됐다.

Q. 알뜰폰사가 CISO를 지정·신고하지 않는 경우 어떠한 불이익이 있나

A. (김연진 정보보호기획과장) 현재도 알뜰폰 사업자들은 CISO를 지정하도록 돼 있다. 이번 제도 개선을 통해 지정한 CISO를 정부에 신고하도록 하고, 지정하지 않았을 경우에는 과태료가 부과될 수가 있다. ISMS 인증인증받지 않는 경우 과태료 처분이 나갈 수 있다.

강소현 기자
ksh@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널