가입자 핵심정보 보관 시설들
잇단 해킹에 '보안 사각지대' 지적
정부 "국가가 관리해 보호 강화"
이동통신 3사와 일부 이커머스 사이트 등의 해킹사태가 일어난 후 정부가 이통 3사와 플랫폼 등에 대한 보안심사 기준을 높이는 방안을 추진 중이다. 한 시민이 통화를 하며 이통 3사 대리점 앞을 지나고 있다. 연합뉴스 이동통신사 가입자 핵심정보를 보관하는 홈가입자서버(HSS)와 펨토셀(초소형 기지국) 등 통신사 핵심 정보기술(IT) 자산의 국가 핵심 인프라 지정이 초읽기에 들어갔다. 사실상 모든 국민 정보가 담긴 통신자산이 제도적 관리의 사각지대에 놓인 채 대규모 개인정보 탈취에 악용되자 범정부 차원의 보안 강화 조치에 나선 것으로 분석된다.
■HSS·펨토셀 주요 정보통신 기반시설 지정될 듯
17일 업계에 따르면 과학기술정보통신부는 외부 네트워크 연결이 제한된 HSS 등 통신사 폐쇄망과 펨토셀 장비를 주요 정보통신 기반시설로 지정하는 방안을 검토 중이다.
실제 과기정통부 산하 한국인터넷진흥원(KISA)은 폐쇄망과 펨토셀을 주요 정보통신 기반시설 심사·점검 범위에 포함하는 논의에 착수했다. KISA는 국내 주요 정보통신 기반시설 취약점을 분석·평가하고 있다. 앞서 과기정통부는 통신 3사가 보유한 주요 정보자산서버 현황을 정리한 자료 제출을 요구하는 등 주요 정보통신 기반시설 지정 논의가 급물살을 타고 있다는 분석이다. 현재 통신사 폐쇄망, 펨토셀 등은 주요 정보통신 기반시설로 지정되지 않은 상태다.
그러나 올해 가입자 핵심정보가 포함된 통신사 HSS가 연달아 해커들의 공격을 받으면서 국가 차원의 보호·관리가 필요하다는 목소리가 잇따랐다. 주요 정보통신 기반시설은 국가 사이버안보 등을 고려해 정보통신 기반시설 중 전자적 침해행위로부터 보호 등이 필요하다고 인정될 때 각 담당 부처 장관이 지정할 수 있다.
■관리 '구멍'에 개인정보 유출 자초
지난 4월 SK텔레콤은 HSS를 포함한 28대의 서버가 은닉성이 강한 BPF도어 등 33종의 악성코드에 감염됐다. 이에 전화번호, 가입자식별번호(IMSI), 단말기식별번호(IMEI) 등 25종의 핵심정보가 유출됐다. KT도 지난해 가입자 성명, 전화번호, IMEI 등의 정보가 포함된 서버 43대에 악성코드가 침투했다. 정부는 포렌식을 통해 HSS 내 악성코드 침투 여부를 조사 중이다.
KT '무단 소액결제' 사태 발생의 원인으로 지목된 펨토셀 관리체계도 총체적으로 부실했다. 실제 KT에 납품되는 모든 펨토셀이 하나의 인증서를 사용했다. 해당 인증서를 복사하면 불법 펨토셀도 KT망에 접속이 가능했다. 또 KT 인증서의 유효기간이 10년으로 설정돼 한 번이라도 KT망에 접속한 이력이 있는 펨토셀은 지속적으로 KT망에 접속할 수 있었다. 또 펨토셀 제조사는 펨토셀에 탑재되는 셀 아이디, 인증서, KT 서버 인터넷 통신 규약(IP) 등 중요정보를 보안관리 체계 없이 펨토셀 제작 외주사에 제공했다. 이를 통해 펨토셀 저장장치에서 해당 정보를 쉽게 확인·추출이 가능했다. 또 내부망에서의 펨토셀 접속 인증 과정에서 타사 또는 해외 IP 등 비정상 IP도 차단하지 않았다.
강은수 국회입법조사처 입법조사관은 "해킹된 HSS는 보안 침해 시 국가 통신기반에 광범위한 혼란을 초래할 수 있음에도 주요 정보통신 기반시설에서 제외된 채 사각지대에 놓여 있었다"며 "향후 정부는 주요 정보통신 기반시설의 지정범위를 확대하고 지정절차를 강화할 필요가 있다"고 말했다.
잇단 해킹에 '보안 사각지대' 지적
정부 "국가가 관리해 보호 강화"
■HSS·펨토셀 주요 정보통신 기반시설 지정될 듯
17일 업계에 따르면 과학기술정보통신부는 외부 네트워크 연결이 제한된 HSS 등 통신사 폐쇄망과 펨토셀 장비를 주요 정보통신 기반시설로 지정하는 방안을 검토 중이다.
실제 과기정통부 산하 한국인터넷진흥원(KISA)은 폐쇄망과 펨토셀을 주요 정보통신 기반시설 심사·점검 범위에 포함하는 논의에 착수했다. KISA는 국내 주요 정보통신 기반시설 취약점을 분석·평가하고 있다. 앞서 과기정통부는 통신 3사가 보유한 주요 정보자산서버 현황을 정리한 자료 제출을 요구하는 등 주요 정보통신 기반시설 지정 논의가 급물살을 타고 있다는 분석이다. 현재 통신사 폐쇄망, 펨토셀 등은 주요 정보통신 기반시설로 지정되지 않은 상태다.
그러나 올해 가입자 핵심정보가 포함된 통신사 HSS가 연달아 해커들의 공격을 받으면서 국가 차원의 보호·관리가 필요하다는 목소리가 잇따랐다. 주요 정보통신 기반시설은 국가 사이버안보 등을 고려해 정보통신 기반시설 중 전자적 침해행위로부터 보호 등이 필요하다고 인정될 때 각 담당 부처 장관이 지정할 수 있다.
■관리 '구멍'에 개인정보 유출 자초
지난 4월 SK텔레콤은 HSS를 포함한 28대의 서버가 은닉성이 강한 BPF도어 등 33종의 악성코드에 감염됐다. 이에 전화번호, 가입자식별번호(IMSI), 단말기식별번호(IMEI) 등 25종의 핵심정보가 유출됐다. KT도 지난해 가입자 성명, 전화번호, IMEI 등의 정보가 포함된 서버 43대에 악성코드가 침투했다. 정부는 포렌식을 통해 HSS 내 악성코드 침투 여부를 조사 중이다.
KT '무단 소액결제' 사태 발생의 원인으로 지목된 펨토셀 관리체계도 총체적으로 부실했다. 실제 KT에 납품되는 모든 펨토셀이 하나의 인증서를 사용했다. 해당 인증서를 복사하면 불법 펨토셀도 KT망에 접속이 가능했다. 또 KT 인증서의 유효기간이 10년으로 설정돼 한 번이라도 KT망에 접속한 이력이 있는 펨토셀은 지속적으로 KT망에 접속할 수 있었다. 또 펨토셀 제조사는 펨토셀에 탑재되는 셀 아이디, 인증서, KT 서버 인터넷 통신 규약(IP) 등 중요정보를 보안관리 체계 없이 펨토셀 제작 외주사에 제공했다. 이를 통해 펨토셀 저장장치에서 해당 정보를 쉽게 확인·추출이 가능했다. 또 내부망에서의 펨토셀 접속 인증 과정에서 타사 또는 해외 IP 등 비정상 IP도 차단하지 않았다.
강은수 국회입법조사처 입법조사관은 "해킹된 HSS는 보안 침해 시 국가 통신기반에 광범위한 혼란을 초래할 수 있음에도 주요 정보통신 기반시설에서 제외된 채 사각지대에 놓여 있었다"며 "향후 정부는 주요 정보통신 기반시설의 지정범위를 확대하고 지정절차를 강화할 필요가 있다"고 말했다.
댓글목록
등록된 댓글이 없습니다.