해킹 사고를 겪는 SK텔레콤(017670)이 최근 정부의 정보보호 관리체계 인증을 통과한 것으로 나타났다. 정부의 인증 심사가 기업의 보안 역량을 평가하고 관리하는 데 유명무실하며 관련 기준을 강화해야 한다는 목소리가 나온다.
6일 이훈기 더불어민주당 의원이 과학기술정보통신부로부터 받은 자료에 따르면 SK텔레콤은 정부로부터 정보보호 관리체계 인증(ISMS) 2개와 정보보호 및 개인정보보호 관리체계 인증(ISMS-P) 등 3개의 정보보호 인증을 받았다.
ISMS 인증은 정보자산을 안전하게 관리하기 위한 위험 관리, 사고 예방 및 대응, 복구 등 80개 기준을 통과한 기업에, ISMS-P 인증은 ISMS 인증에 더해 개인정보보호 요구사항 21개가 추가된 101개 기준을 통과한 기업에 부여된다. 두 인증은 과기정통부와 개인정보보호위원회가 관리한다.
SK텔레콤은 지난해 9월 ‘이동전화 고객관리 서비스’에 대한 ISMS-P 최초심사와 ‘T 전화·누구(NUGU) 서비스 운영’에 대한 ISMS 사후심사를 받았다. 같은 해 7월에는 ‘이동통신서비스 인프라 운용’에 대한 ISMS 갱신심사를 거쳤다. 이를 통해 세 인증의 유효 기간은 2027년까지로 연장됐다.
SK텔레콤이 정부 인증을 받은 지 6개월 만에 해킹 사고를 겪으며 관련 제도의 실효성이 떨어진다는 지적이 나온다. 이 의원은 “정부의 정보보호 인증 제도가 기업의 보안 역량을 제대로 평가하지 못하고 사후 관리도 제대로 안 된다는 점이 SK텔레콤 해킹 사태로 드러났다”며 “통신·금융 등 국가 핵심 기반 사업자에 대해서는 강화된 인증 기준을 적용하고 철저한 사후 관리가 이뤄질 수 있도록 제도를 개선해야 한다”고 말했다.
이번 해킹 사고 전에도 ISMS 인증기업이 신고한 침해사고 건수는 2020년 0건에서 2021년 6건, 2022년 13건, 2023년 101건으로 증가했다. 지난해에는 96건, 올해는 지난달 28일까지 37건이 집계됐다. 개인정보위 관계자는 “당시 SKT 점검에서 해킹 취약점에 대해 제대로 확인했는지를 검토하고 있다”며 “인증·심사한 기관에 자료를 요청했고 관련 내용도 파악 중”이라고 했다.
![[속보] SKT "유심보호서비스 2411만명 가입…유심 교체는 104만명"](https://newsimg.sedaily.com/2025/05/06/2GSOXCB6E1_3.jpg)
