▲지난달 28일 SK텔레콤이 유심(USIM) 무상교체 서비스를 시작한 가운데 서울 강서구 김포공항 안에 위치한 SK텔레콤 로밍센터 부스 앞이 유심을 교체하러 온 시민들로 장사진을 이루고 있다. 사진=이태민 기자.
대규모 가입자식별모듈(USIM·유심) 해킹 사태로 물의를 빚은 SK텔레콤(SKT)이 6개월여 전까지만 해도 정부의 정보보호 관리체계 인증 심사를 잇달아 통과한 것으로 나타났다.
6일 이훈기 더불어민주당 의원이 과학기술정보통신부로부터 받은 자료에 따르면 SKT가 현재 보유한 정부의 정보보호 인증은 '정보보호 관리체계 인증'(ISMS) 2개와 '정보보호 및 개인정보보호 관리체계 인증'(ISMS-P) 1개 등 총 3개다.
SKT는 지난해 9월23일부터 10월1일까지 '이동전화 고객관리 서비스'에 대한 ISMS-P 최초심사와 'T 전화·누구(NUGU) 서비스 운영'에 대한 ISMS 사후심사를 받았다. 같은 해 7월에는 '이동통신서비스 인프라 운용'에 대한 ISMS 갱신심사를 거쳤다.
ISMS 인증은 정보자산을 안전하게 관리하기 위한 위험 관리, 사고 예방 및 대응, 복구 등 80개 기준을 통과한 기업이 받을 수 있다. 의무 대상은 주요 정보통신서비스 제공자나 정보통신서비스 매출액 100억원 이상 또는 일평균 이용자 수 100만명 이상인 경우 등이다.
ISMS-P 인증은 ISMS 인증에 개인정보보호 요구사항 21개가 추가된 101개 기준을 통과한 기업이 획득 가능하다. 두 인증 체계 모두 개인정보보호위원회와 과기정통부가 관리한다. 최초심사를 통해 관련 인증을 취득하면 3년의 유효기간이 부여된다. 앞서 받은 인증 범위에 중대한 변경이 있어 다시 인증을 신청할 때도 최초심사를 받아야 한다. 이후 사후심사를 매년 1회 이상 거쳐야 하고, 인증 기간이 만료돼 유효기간을 연장하려면 갱신심사도 필요하다.
업계는 정부의 각종 보안 인증 심사를 받은 지 불과 6개월 후인 지난 4월 SKT 해킹 사태가 벌어졌다는 점에 주목하는 분위기다. 관련 제도의 실효성이 떨어진다는 지적이 나오고 있기 때문이다.
실제 ISMS 인증기업이 신고한 침해사고 건수는 2020년 0건에서 2021년 6건, 2022년 13건, 2023년 101건으로 증가 추세다. 작년에도 96건, 올해의 경우 지난달 28일까지 37건의 침해 신고가 접수됐다.
이 의원은 “정부 정보보호 인증 제도가 기업의 보안 역량을 제대로 평가하지 못하고 사후 관리도 제대로 안 된다는 점이 SKT 해킹 사태로 드러났다"며 “통신·금융 등 국가 핵심 기반 사업자에 대해서는 강화된 인증 기준을 적용하고 철저한 사후 관리가 이뤄질 수 있도록 제도를 개선해야 한다"고 말했다.
![[석유시장 동향] 관세전쟁 우려 줄면서 3월 국내수요 회복…바닥 딛고 반등 예상](http://www.ekn.kr/mnt/thum/202505/news-p.v1.20240726.701d6b5090a7446aaedbae3c11081a6f_T1.jpg)
![[대선 2025] 이재명 “충분한 공급” 김문수 “청년 주택”](http://www.ekn.kr/mnt/thum/202505/news-p.v1.20250506.e40ae2f5ba22489dad761c2695edd998_T1.jpg)
![[2025 대선]‘산으로 가는’ 조기 대선…국힘 ‘단일화’ 갈등·민주 ‘대법원과 맞짱’](http://www.ekn.kr/mnt/thum/202505/news-p.v1.20250506.72e779e954064e829c016ce26499959e_T1.png)
![[대선 2025] RE100 현실성 논의 재점화…대표에너지 재생e냐, 원전이냐](http://www.ekn.kr/mnt/thum/202505/news-p.v1.20250506.d08cfb919eb348bf8becf6b739b343b1_T1.png)
;){kind=link}