[이데일리 김현아 기자] 최근 발생한 SK텔레콤(017670)의 대규모 사이버 침해사고를 계기로, 정부가 부여하는 정보보호 및 개인정보보호 관리체계 인증제도(ISMS·ISMS-P)의 실효성에 심각한 문제가 드러났다는 지적이 제기됐다.

29일 오전 서울 시내 한 SKT 대리점에 유심 교체를 하기 위한 이용자들이 매장 개장 시간에 앞서 담당자와 대화하고 있다.(사진=이데일리 이영훈 기자)

더불어민주당 이훈기 의원(인천 남동을, 국회 과학기술정보방송통신위원회)은 이번 SK텔레콤(주) 해킹 사고에 대해 “ISMS·ISMS-P 인증제도의 전면 재점검과 관리·감독 강화가 필요하다”고 29일 강조했다.

ISMS와 ISMS-P는 과학기술정보통신부와 개인정보보호위원회가 주관하는 국가공인 정보보호 인증제도로, 기업들이 서버와 네트워크 장비의 기술적·관리적 취약점을 점검하고, 중요 데이터를 암호화해 해킹에 대비하도록 요구하고 있다.

SK텔레콤은 국내 대표 통신서비스 제공자로서 이들 인증을 모두 보유하고 있었음에도 불구하고 대규모 해킹 사고를 막지 못했다.

특히 해킹 사실을 최초 인지한 시점(4월 18일)과 이를 관계기관(KISA)에 공식 신고한 시점(4월 20일) 사이 약 이틀간의 시간 차가 발생하며 초동 대응에 문제를 드러냈다.

이 과정은 SK텔레콤이 ISMS·ISMS-P 인증을 보유하고 있음에도 불구하고, 침해사고 탐지·분석·보고·대응 등 인증 기준상 요구되는 절차가 실제 현장에서는 제대로 작동하지 않았음을 명확히 보여준다.

큰 비용과 시간을 들여 유지하는 ISMS·ISMS-P 인증이 정작 해킹 방어와 초기 대응에 실패한 이번 사태는, 제도가 형식적 관리로만 운영될 경우 ‘종이호랑이’로 전락할 수 있음을 경고하는 사례가 됐다.

이훈기 의원은 “이번 SKT 해킹 사태를 계기로 과학기술정보통신부, 개인정보보호위원회, KISA 등 관계 부처는 ISMS 인증제도의 실질적 문제점을 철저히 분석해야 한다”며 “국민이 신뢰할 수 있도록 실효성을 갖춘 정보보호 인증 체계로 거듭나야 한다”고 강조했다.

이훈기 의원