정부가 이동통신사의 핵심서버와 관리망까지 '주요정보통신기반시설'로 지정하는 방안을 추진한다. SK텔레콤 해킹 사태를 계기로 가입자 주요정보가 관리 사각지대에 방치돼 왔다는 지적에 따른 것이다. 통신사 점검 대상 기반시설은 종전대비 6배로 늘어날 것으로 보여 부담이 가중될 전망이다.
31일 업계에 따르면 이통 3사는 정부 지시에 따라 자사가 보유한 주요 정보자산서버 현황을 정리한 자료를 과학기술정보통신부에 제출했다. 3차례에 걸친 리스트업을 통해 추려진 기반시설 지정 대상은 가입자 정보 서버와 인증시스템, 고객 관리망 등이다. 특히 코어망에 있는 홈가입자서버(HSS)와 통합고객시스템(ICAS)뿐 아니라 과금정보관리서버(WCDR) 등 관리망 영역까지 전부 포함됐다.
정부는 정보통신기반보호법에 따라 통신·금융·에너지 등 국가핵심시설을 주요정보통신기반시설로 지정, 관리기관의 보호대책 이행을 점검하고 있다.
기존에는 통신사가 보유한 설비 중 백본망, 라우터, 게이트웨이 등 네트워크 관련 설비만 기반시설 지정 대상이었다. 관리 초점이 망 장애 방지에 맞춰져 있었기 때문이다. 그러나 사이버침해 사고로 광범위한 혼란이 초래되면서 네트워크뿐 아니라 가입자 정보까지 지정 범위를 확대할 필요성이 커졌다. 국회서도 HSS 등 주요 서버는 국가적 기반시설로 관리해야 한다는 지적이 많았다.
이러한 정보자산 서버까지 대상에 포함되면 통신업계의 주요 정보통신기반시설수는 6배 이상 늘어나게 된다. 현재 각사별 지정대상 시설은 네트워크 설비 중심 약 700~800개 수준이다. 앞으로 SK텔레콤은 5000여대, KT와 LG유플러스는 4000여대 설비가 추가 지정될 전망이다.
네트워크 인프라뿐 아니라 주요 서버까지 관리기관인 한국인터넷진흥원(KISA) 기술 점검 대상이다. 통신사는 정부가 지정한 외부 수검업체를 통해 매년 점검을 받아야 하며 결과는 KISA에 제출된다. 관리 책임과 보안 의무가 대폭 강화되는 셈이다.
통신사는 난색을 표하고 있다. 보안 패러다임이 자율보안체계로 전환되는 흐름 속에 이를 역행하는 과도한 개입이 될 수 있다는 우려다. 특히 외부 용역업체가 가입자 정보가 저장된 기업의 민감한 서버를 직접 점검하는 방식에 대한 거부감도 적지 않다.
통신업계 관계자는 “기반시설 지정 자체를 무조건 반대하는 건 아니지만 매년 어떤 방식으로 어떤 서버를 볼 것인지 보다 구체화될 필요는 있다”면서 “기준과 수검 방식에 대한 구체적 지침 없이 범위만 넓히는 것은 경영 불확실성으로 이어질 수 있기 때문”이라고 말했다.
통신업계는 내달 말 자체 보호대책 최종 자료 제출전까지 정부와 기반기설 지정 범위를 놓고 논의를 이어간다는 방침이다.
박준호 기자 junho@etnews.com
