2026.02.26 목요일
검색
'이해민 의원' 검색결과
기간검색
-
~
검색영역
검색어
-
![[국정자원 화재] 전산망 마비 국정자원, 불과 한 달 전 ISMS 인증 통과했다](https://image.ajunews.com//content/image/2025/10/10/20251010102503470490.jpg)
'전산망 마비' 국정자원, 불과 한 달 전 ISMS 인증 통과했다 [이코노믹데일리] 초유의 국가 전산망 마비 사태를 일으킨 국가정보자원관리원(국정자원)이 화재 발생 불과 한 달 전에 재해복구 항목이 포함된 ‘정보보호관리체계(ISMS)’ 인증을 통과한 것으로 드러나면서 파문이 일고 있다. ‘절반의 이중화’와 ‘백업 미비’ 등 총체적 부실이 드러난 상황에서 정부의 핵심 보안 인증 제도가 사실상 ‘무용지물’이었음이 증명된 셈이다. 이는 인증 제도의 신뢰성과 실효성에 대한 근본적인 의문을 제기한다. 국회 과학기술정보방송통신위원회 소속 이해민 의원(조국혁신당)에 따르면 국정자원은 정부 기관으로서 의무 대상이 아님에도 자율적으로 ISMS 인증을 신청해 지난 9월 3일 인증을 취득했다. ISMS 인증은 한국인터넷진흥원(KISA)이 주관하며 △재해·재난 대비 안전조치 △재해복구 시험 및 개선 △백업 및 복구관리 등 총 80개의 엄격한 심사 항목을 평가한다. 하지만 이번 화재로 드러난 국정자원의 현실은 ‘인증’과는 거리가 멀었다. 애초에 실시간 서비스 전환이 불가능한 ‘절반의 이중화’ 시스템이었고 심지어 공무원 업무 자료가 담긴 G드라이브(공무원용 클라우드 저장장치)는 백업조차 제대로 되지 않아 데이터가 소실되는 사태까지 벌어졌다. 재해복구 체계의 가장 기본적인 항목조차 지켜지지 않았음에도 ISMS 인증 심사는 이를 걸러내지 못하고 ‘적정’ 판정을 내린 것이다. ◆ “어디까지 신뢰할 수 있나”…제도 개선 목소리 이러한 상황에 대해 이해민 의원은 강하게 비판했다. 그는 “이중화·이원화는커녕 백업도 제대로 하지 않은 상황임에도 이러한 재난·재해 대비 수준을 ‘적정’하다고 판정해준 ISMS 인증 제도를 과연 어디까지 신뢰할 수 있을지 심각한 의문이 든다”고 지적했다. 이번 사태는 ISMS 인증이 실제 운영 실태를 면밀히 들여다보는 실질적인 검증이 아닌 서류상의 요건만 맞추면 통과할 수 있는 형식적인 절차로 전락했을 수 있다는 심각한 의혹을 낳고 있다. KT, 롯데카드 등 최근 대형 보안 사고를 겪은 기업 대부분이 ISMS 인증을 보유하고 있었다는 점도 이러한 의혹을 뒷받침한다. 이 의원은 근본적인 제도 개선을 촉구했다. 그는 “정부는 형식적인 인증 건수 늘리기에 급급할 것이 아니라 실제 보안과 재해복구 수준을 담보할 수 있는 근본적인 개선책을 시급히 마련해야 한다”고 강조했다. 이는 체크리스트 위주의 서류 심사를 넘어 실제 해킹이나 재난 시나리오를 기반으로 한 실질적인 모의 훈련과 검증 체계를 도입해야 한다는 목소리로 이어진다.2025-10-10 11:35:00
-
KT 해킹 부른 '펨토셀', '정부인증' 믿었는데…제도적 허점 드러나 [이코노믹데일리] KT 대규모 해킹 사태를 촉발한 초소형 기지국(펨토셀)이 정부의 핵심 정보보호 인증 제도의 사각지대에 놓여 있었던 것으로 드러났다. 국가 공인 인증을 받았음에도 대형 보안 사고가 터진 근본적인 이유가 제도적 허점 때문이었다는 비판이 나온다. 25일 국회 과방위 소속 이해민 의원(조국혁신당)이 한국인터넷진흥원(KISA)으로부터 제출받은 자료에 따르면 펨토셀은 정보보호관리체계(ISMS-P) 인증 범위에서 사실상 제외돼 있었다. ISMS-P는 기업의 정보보호 및 개인정보보호 관리 체계가 국가 인증 기준에 적합한지 심사하는 제도로 통신사 등 정보통신망서비스제공자(ISP)는 의무적으로 인증을 받아야 한다. 문제는 인증 범위의 해석과 적용에 있었다. KISA는 “인력과 예산의 한계로 코어망 중심으로만 인증이 진행되고 있다”며 “무선기지국은 중앙전파관리소가 관리하기 때문에 범위에 포함하지 않는다”고 해명했다. 하지만 중앙전파관리소의 무선기지국 검사는 전파의 간섭 여부 등 장비 성능 확인에 국한될 뿐 보안 취약점 점검은 전혀 이뤄지지 않는다. 결국 펨토셀을 포함한 무선 기지국 전체가 보안 검증의 공백 상태로 방치돼 있었던 셈이다. 이러한 형식적인 인증 제도는 결국 ‘종이호랑이’로 전락했다는 지적이다. 이해민 의원은 “해킹 피해를 본 기업은 대부분 ISMS나 ISMS-P 인증을 받은 곳”이라며 “국민은 정부 인증을 신뢰하고 기업 서비스를 이용하지만 현실과 동떨어진 인증 기준과 기업 자율에 맡긴 형식적 검토만으로 보안 수준을 높일 수 없다”고 비판했다. 이 의원은 근본적인 제도 개편을 촉구했다. 그는 “ISP 사업자의 경우 코어망 외부에서도 보안 사고가 발생하는 만큼 인증 범위를 확대해야 한다”며 “형식적인 서류심사나 체크리스트 위주의 인증이 아니라 실제 해킹 위협 시나리오를 토대로 보안관리 체계를 개편해야 한다”고 강조했다.2025-09-25 08:08:32
-
SKT·LGU+는 하는데…KT가 '이것' 안 해서 2억 넘게 털렸다 [이코노믹데일리] KT가 경쟁 통신사와 달리 사용하지 않는 초소형 기지국(펨토셀)을 자동으로 차단하는 기본적인 관리 시스템조차 갖추지 않아 대규모 무단 소액결제 피해를 키웠다는 지적이 나왔다. 국회 과학기술정보방송통신위원회 소속 이해민 의원(조국혁신당)은 24일 KT가 통신 3사 중 가장 많은 20만 대 이상의 펨토셀을 보급했음에도 불구하고 기본적인 관리 체계가 전무했다고 밝혔다. SK텔레콤과 LG유플러스는 펨토셀이 장기간 사용되지 않거나 등록된 위치에서 일정 거리 이상 벗어나면 자동으로 탐지해 차단하고 장비 고윳값을 삭제하는 시스템을 운영하고 있다. 하지만 KT의 관리 방식은 고객 연락에만 의존하는 주먹구구식이었던 것으로 드러났다. 고객과 연락이 닿지 않으면 회수 불능 상태로 사실상 방치됐으며 이렇게 버려진 펨토셀이 해커들의 불법 장비로 악용됐을 가능성이 크다는 것이 이 의원의 지적이다. 이러한 관리 부실은 결국 2억4000만원 규모의 소액결제 사기라는 대형 보안 참사로 이어졌다. 해커들은 방치된 펨토셀을 이용해 2만여 명의 개인정보를 유출하고 강제 결제를 시도했지만 KT는 이를 탐지조차 못 했다. 이해민 의원은 “KT가 기간통신사업자로서 기본적인 자질을 갖추고 있는지 의문”이라며 “위기관리센터를 포함한 대통령실 이전 등 국가 주요 통신 인프라 사업을 수행하는 KT의 망 관리 부실이 국가적 위협으로 이어질 수 있는 만큼 철저한 조사와 검증이 필요하다”고 비판했다. 이어 “인적 쇄신을 포함한 근본적인 개선책도 뒤따라야 한다”고 강력하게 촉구했다.2025-09-24 10:10:16
많이 본 뉴스
영상
Youtube 바로가기
![[데스크 칼럼] 내 물건이라는 말로 상표까지 바꿀 수는 없다](https://image.ajunews.com/content/image/2026/02/26/20260226154430304003_518_323.jpg)