2025.10.16 목요일
검색
'정보보호관리체계' 검색결과
기간검색
-
~
검색영역
검색어
-
![[국정자원 화재] 전산망 마비 국정자원, 불과 한 달 전 ISMS 인증 통과했다](https://image.ajunews.com//content/image/2025/10/10/20251010102503470490.jpg)
'전산망 마비' 국정자원, 불과 한 달 전 ISMS 인증 통과했다 [이코노믹데일리] 초유의 국가 전산망 마비 사태를 일으킨 국가정보자원관리원(국정자원)이 화재 발생 불과 한 달 전에 재해복구 항목이 포함된 ‘정보보호관리체계(ISMS)’ 인증을 통과한 것으로 드러나면서 파문이 일고 있다. ‘절반의 이중화’와 ‘백업 미비’ 등 총체적 부실이 드러난 상황에서 정부의 핵심 보안 인증 제도가 사실상 ‘무용지물’이었음이 증명된 셈이다. 이는 인증 제도의 신뢰성과 실효성에 대한 근본적인 의문을 제기한다. 국회 과학기술정보방송통신위원회 소속 이해민 의원(조국혁신당)에 따르면 국정자원은 정부 기관으로서 의무 대상이 아님에도 자율적으로 ISMS 인증을 신청해 지난 9월 3일 인증을 취득했다. ISMS 인증은 한국인터넷진흥원(KISA)이 주관하며 △재해·재난 대비 안전조치 △재해복구 시험 및 개선 △백업 및 복구관리 등 총 80개의 엄격한 심사 항목을 평가한다. 하지만 이번 화재로 드러난 국정자원의 현실은 ‘인증’과는 거리가 멀었다. 애초에 실시간 서비스 전환이 불가능한 ‘절반의 이중화’ 시스템이었고 심지어 공무원 업무 자료가 담긴 G드라이브(공무원용 클라우드 저장장치)는 백업조차 제대로 되지 않아 데이터가 소실되는 사태까지 벌어졌다. 재해복구 체계의 가장 기본적인 항목조차 지켜지지 않았음에도 ISMS 인증 심사는 이를 걸러내지 못하고 ‘적정’ 판정을 내린 것이다. ◆ “어디까지 신뢰할 수 있나”…제도 개선 목소리 이러한 상황에 대해 이해민 의원은 강하게 비판했다. 그는 “이중화·이원화는커녕 백업도 제대로 하지 않은 상황임에도 이러한 재난·재해 대비 수준을 ‘적정’하다고 판정해준 ISMS 인증 제도를 과연 어디까지 신뢰할 수 있을지 심각한 의문이 든다”고 지적했다. 이번 사태는 ISMS 인증이 실제 운영 실태를 면밀히 들여다보는 실질적인 검증이 아닌 서류상의 요건만 맞추면 통과할 수 있는 형식적인 절차로 전락했을 수 있다는 심각한 의혹을 낳고 있다. KT, 롯데카드 등 최근 대형 보안 사고를 겪은 기업 대부분이 ISMS 인증을 보유하고 있었다는 점도 이러한 의혹을 뒷받침한다. 이 의원은 근본적인 제도 개선을 촉구했다. 그는 “정부는 형식적인 인증 건수 늘리기에 급급할 것이 아니라 실제 보안과 재해복구 수준을 담보할 수 있는 근본적인 개선책을 시급히 마련해야 한다”고 강조했다. 이는 체크리스트 위주의 서류 심사를 넘어 실제 해킹이나 재난 시나리오를 기반으로 한 실질적인 모의 훈련과 검증 체계를 도입해야 한다는 목소리로 이어진다.2025-10-10 11:35:00
-
KT 해킹 부른 '펨토셀', '정부인증' 믿었는데…제도적 허점 드러나 [이코노믹데일리] KT 대규모 해킹 사태를 촉발한 초소형 기지국(펨토셀)이 정부의 핵심 정보보호 인증 제도의 사각지대에 놓여 있었던 것으로 드러났다. 국가 공인 인증을 받았음에도 대형 보안 사고가 터진 근본적인 이유가 제도적 허점 때문이었다는 비판이 나온다. 25일 국회 과방위 소속 이해민 의원(조국혁신당)이 한국인터넷진흥원(KISA)으로부터 제출받은 자료에 따르면 펨토셀은 정보보호관리체계(ISMS-P) 인증 범위에서 사실상 제외돼 있었다. ISMS-P는 기업의 정보보호 및 개인정보보호 관리 체계가 국가 인증 기준에 적합한지 심사하는 제도로 통신사 등 정보통신망서비스제공자(ISP)는 의무적으로 인증을 받아야 한다. 문제는 인증 범위의 해석과 적용에 있었다. KISA는 “인력과 예산의 한계로 코어망 중심으로만 인증이 진행되고 있다”며 “무선기지국은 중앙전파관리소가 관리하기 때문에 범위에 포함하지 않는다”고 해명했다. 하지만 중앙전파관리소의 무선기지국 검사는 전파의 간섭 여부 등 장비 성능 확인에 국한될 뿐 보안 취약점 점검은 전혀 이뤄지지 않는다. 결국 펨토셀을 포함한 무선 기지국 전체가 보안 검증의 공백 상태로 방치돼 있었던 셈이다. 이러한 형식적인 인증 제도는 결국 ‘종이호랑이’로 전락했다는 지적이다. 이해민 의원은 “해킹 피해를 본 기업은 대부분 ISMS나 ISMS-P 인증을 받은 곳”이라며 “국민은 정부 인증을 신뢰하고 기업 서비스를 이용하지만 현실과 동떨어진 인증 기준과 기업 자율에 맡긴 형식적 검토만으로 보안 수준을 높일 수 없다”고 비판했다. 이 의원은 근본적인 제도 개편을 촉구했다. 그는 “ISP 사업자의 경우 코어망 외부에서도 보안 사고가 발생하는 만큼 인증 범위를 확대해야 한다”며 “형식적인 서류심사나 체크리스트 위주의 인증이 아니라 실제 해킹 위협 시나리오를 토대로 보안관리 체계를 개편해야 한다”고 강조했다.2025-09-25 08:08:32
-
개인정보위, SKT에 역대 최대 과징금 1347억 부과…개인정보 보호, 비용 아닌 투자다 [이코노믹데일리] 개인정보보호위원회가 SK텔레콤에 개인정보 유출 사고의 책임을 물어 역대 최대 규모인 1347억9100만원의 과징금을 부과했다. 개인정보위는 27일 전체회의를 열고 안전조치 의무 위반 등으로 2300여만 명의 개인정보 유출을 야기한 SK텔레콤에 이 같은 제재를 의결했다고 밝혔다. 이는 국내 개인정보 유출 사고 과징금으로는 사상 최고액으로 기업의 개인정보 보호 책임에 대한 강력한 경고 메시지로 풀이된다. 이번 사고는 이동통신 서비스의 핵심인 유심(USIM) 정보가 대규모로 유출됐다는 점에서 사회적 파장이 컸다. 조사 결과 SK텔레콤은 해커가 2021년 8월 내부망에 최초 침투한 이후 약 3년 8개월간 이를 인지하지 못했으며 이 기간 동안 2324만여 명의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki) 등 25종의 정보가 유출된 것으로 확인됐다. 개인정보위는 이번 사태의 원인을 SK텔레콤의 ‘총체적 관리 부실’로 규정했다. 조사 과정에서 △외부 침입에 취약한 방화벽 설정 △수천 개의 서버 계정정보 암호화 미비 △유심 복제의 핵심 정보인 인증키(Ki) 평문 저장 △2016년에 발견된 치명적 운영체제(OS) 보안 취약점 8년 이상 방치 등 기본적인 보안 조치조차 소홀히 한 사실이 드러났다. 특히 경쟁사인 KT와 LG유플러스가 각각 2014년, 2011년부터 인증키를 암호화해온 사실을 인지하고도 조치하지 않은 점은 심각한 문제로 지적됐다. 개인정보 보호책임자(CPO)의 역할이 IT 영역에만 한정돼 사고가 발생한 통신 인프라 영역은 관리·감독의 사각지대에 놓여 있었던 점, 유출 사실 인지 후 72시간 내 이용자에게 통지해야 하는 의무를 지키지 않은 점도 위반 사항으로 확인됐다. 이에 개인정보위는 과징금과 별도로 과태료 960만원을 부과하고 3개월 내 재발방지대책 수립을 명령했다. 시정명령에는 CPO의 실질적 역할 보장과 함께 사고가 발생한 이동통신 네트워크 시스템에 대한 정보보호관리체계(ISMS-P) 인증 취득 요구 등이 포함됐다. 고학수 개인정보위 위원장은 “이번 사건을 계기로 대규모 개인정보를 보유·처리하는 사업자들이 관련 예산과 인력의 투입을 단순한 비용 지출이 아닌 필수적인 투자로 인식하길 바란다”며 “데이터 경제시대 CPO와 전담조직이 기업경영에서 차지하는 역할과 중요성을 제고하여 개인정보 보호 체계가 한 단계 강화되는 계기가 되길 바란다”라고 말했다.2025-08-28 11:17:56
-
12만명 개인정보 털렸는데, 72시간 묵살…공공기관 보안의 민낯 [이코노믹데일리] 지난 6월 발생한 한국연구재단 해킹 사건이 단순한 개인정보 유출을 넘어 대한민국 공공기관 정보보호 체계의 총체적 부실을 드러낸 ‘인재(人災)’였다는 국회입법조사처의 날카로운 지적이 나왔다. 국회입법조사처는 21일 발간하는 ‘이슈와 논점’ 보고서를 통해 이같이 밝히고 과학기술정보통신부 사이버안전센터를 포함한 국가 보안 관제 시스템 전반의 근본적인 재점검이 시급하다고 경고했다. 이번 사건은 국가 연구개발(R&D)의 핵심을 담당하는 공공기관이 이메일 주소와 URL을 조작하는 단순한 해킹 기법에 무방비로 뚫렸다는 점에서 충격을 줬다. 해커들은 연구재단의 논문투고시스템(JAMS)을 해킹해 연구자 12만 명의 개인정보를 탈취했으며 유출된 정보로 일부 피해자의 명의가 도용되는 2차 피해까지 발생했다. 보고서는 이를 "연구생태계의 신뢰 기반을 흔들 수 있는 중대한 사안"이라고 규정했다. 더 큰 문제는 사후 대응 과정에서 드러난 정부의 안일함이다. 과기정통부 산하 기관들의 정보보안을 24시간 통합 관제해야 할 사이버안전센터는 이번 해킹을 자체적으로 인지하지 못했다. 1차와 2차 피해 모두 외부의 의심 신고로 뒤늦게 파악되면서 현행 관제 체계가 사실상 제대로 기능하지 않았음이 명백해졌다. 심지어 사이버안전센터는 정밀조사를 통해 유출 사실을 확인했음에도 '피해 규모 미확정'을 이유로 72시간 동안 '유출 없음'이라는 기존 공지를 유지해 비판을 자초했다. 이는 공공기관의 책임성과 신뢰성을 스스로 훼손하고 2차 피해 가능성을 키운 무책임한 처사였다. 국회입법조사처는 이번 사태의 책임이 연구재단에만 국한되지 않는다고 못 박았다. 24시간 통합 관제라는 본연의 임무를 망각한 사이버안전센터와 수탁 운영 기관인 한국과학기술정보연구원(KISTI), 그리고 공동 주무 부처로서 관리·감독에 소홀했던 과기정통부와 교육부 역시 책임에서 자유로울 수 없다는 것이다. 보고서는 이번 사건을 계기로 공공기관 보안 시스템 강화를 위한 구체적인 법·제도 개선 방안을 제시했다. 현재 대통령령에 근거해 제재 수단 없이 운영되는 공공기관 사이버보안 자체 점검 규정을 '전자정부법' 등 상위 법률로 격상하고 미이행 시 과태료를 부과하는 등 실효성을 확보해야 한다고 제안했다. 또한 개인정보 유출 인지 즉시 우선 통지를 의무화하고 공공기관을 정보보호관리체계(ISMS) 인증 및 정보보호 공시 의무 대상에 포함하는 방향으로 관련 법 개정을 검토해야 한다고 강조했다. 이번 보고서는 소 잃고도 외양간조차 제대로 고치지 못하는 공공 부문의 보안 불감증에 대한 강력한 경고장으로 풀이된다.2025-07-20 13:14:11
-
알리바바 클라우드, 韓 2호 데이터센터 출범…본격 시장 공략 [이코노믹데일리] 아시아태평양 1위 클라우드 사업자인 알리바바 클라우드가 국내에 두 번째 데이터센터를 출범시키며 한국 시장 공략을 본격화한다. AI 인프라 수요에 대응해 '멀티 클라우드' 전략을 펼치겠다는 구상이다. 알리바바 클라우드는 19일 인터컨티넨탈 파르나스에서 기자간담회를 열고 이달 말 서울에 제2 데이터센터를 공식 개소한다고 밝혔다. 2022년 첫 데이터센터를 연 지 2년 만의 추가 투자다. 이는 향후 3년간 AI·클라우드 인프라에 76조원을 쏟아붓겠다는 알리바바 그룹의 대규모 투자 계획의 일환으로 한국 시장의 전략적 중요성을 보여주는 행보다. 알리바바 측은 제2 데이터센터를 통해 국내 기업들이 요구하는 '멀티 데이터센터' 환경을 제공, 서비스 안정성을 높이고 AI 애플리케이션에 최적화된 다양한 상품을 선보이겠다고 밝혔다. 윤용준 알리바바 클라우드 한국 총괄은 "한국이 아태 지역 성장의 거점이 될 수 있다고 본다"며 유통·인터넷·게임 분야를 중심으로 고객사를 적극 확보하겠다는 의지를 보였다. 하지만 간담회의 핵심은 결국 '보안' 문제였다. 알리바바 측은 "한국에 저장된 데이터는 해외로 유출되지 않는다"고 거듭 강조했다. 그 근거로 한국의 정보보호관리체계(ISMS) 인증과 유럽의 일반개인정보보호법(GDPR) 등 150개 이상의 글로벌 보안 인증을 획득했다는 점을 내세웠다. 그러나 중국 현지법에 대한 질문에는 명확한 답변을 피했다. '어떤 조직과 개인도 국가 정보 공작 활동에 협조해야 한다'고 규정한 중국 국가정보법과 사이버보안법에 대한 질문이 나오자 임종진 수석 솔루션 아키텍트는 "중국 법률에 대해 구체적으로 공유하기 어렵다"면서도 "서비스가 위협된다면 까다로운 GDPR 인증을 절대 취득하지 못했을 것"이라고 답했다. 이는 중국 정부가 국가 안보를 명분으로 기업에 사용자 정보 제출을 요구할 수 있다는 근본적인 우려를 해소하기엔 역부족인 원론적 답변이었다. 알리바바 클라우드가 국내 시장에서 AWS, MS 등과 본격적인 경쟁을 펼치기 위해서는 가격 경쟁력과 기술력뿐 아니라 '중국 리스크'라는 보이지 않는 장벽을 넘어서야 하는 과제를 안게 됐다. 이번 제2 데이터센터 출범이 시장의 신뢰를 얻는 전환점이 될 수 있을지 업계의 시선이 집중되고 있다.2025-06-19 17:47:42
많이 본 뉴스
영상
Youtube 바로가기
![[데스크 칼럼] 네이버-두나무 빅딜, 간절함이 빚어낸 ICT 지형 재편](https://image.ajunews.com/content/image/2025/10/10/20251010095405645477_518_323.jpg)