'대포폰 개통' 등 금융 범죄를 막기 위해 지난해 11월 알뜰폰(MVNO) 사업자의 보안 인증이 의무화된 가운데, 전체 사업자의 77%가 관련 인증을 받았거나 심사 중인 것으로 나타났다.
26일 과학기술정보통신부에 따르면 이달 기준 국내 알뜰폰 사업자 77개사 중 59개사(77%)가 정보보호관리체계(ISMS) 인증을 취득했거나 현재 심사를 진행 중이다. KT엠모바일, 미디어로그, SK텔링크 등 이동통신3사 자회사를 비롯해 가입자 기준 상위 20개 사업자가 모두 ISMS 인증을 확보한 것으로 확인됐다. 일부 사업자는 법 시행 전부터 선제적으로 인증을 취득하며 보안 강화에 나섰다.
과기정통부 관계자는 "아직 인증받지 않은 나머지 18개사도 현재 ISMS 인증을 준비 중인 것으로 파악된다"며 "조속히 신청을 마칠 수 있도록 독려하고 있다"고 말했다.
정부가 알뜰폰 보안 강화에 나선 것은 비대면 개통 시스템을 악용한 대규모 금융 범죄가 잇따라서다. 서울경찰청 사이버범죄수사대는 해킹조직이 2023년 7월부터 2024년 4월까지 알뜰폰 사업자 12곳의 비대면 개통 사이트를 해킹해 92명 명의로 유심(USIM) 122개를 부정 개통했다고 발표했다.
이들은 제3자의 전자서명을 피해자의 전자서명인 것처럼 위조하는 방식으로 본인인증 절차를 통과한 뒤, SMS 인증 문자와 금융 OTP 등을 가로챘다. 이를 통해 약 395억원 규모의 금융자산을 탈취했으며, 추가로 250억원 상당을 빼돌리려다 경찰에 검거됐다.
이에 과기정통부는 경찰청 등 관계기관과 총 41차례 회의를 진행하며 재발 방지 대책 마련에 착수했다. 그 결과 지난해 11월 정보통신망법을 개정, ISMS 인증 의무 대상에 '기간통신사업자로부터 이동통신서비스를 제공받아 재판매하는 전기통신사업자'를 포함했다. 이통사 망을 임대해 서비스를 제공하는 알뜰폰 사업자도 ISMS 인증을 받고 정보보호최고책임자(CISO)를 지정하도록 한 것이다.
정부는 알뜰폰 사업 특성을 반영한 전용 인증 항목 40개도 마련했다. 본인인증 과정에서 발생할 수 있는 위험 요소를 연 1회 이상 식별·평가하고 개선안을 수립하도록 했으며, 임직원의 정보보호 및 개인정보보호 관련 법규 준수 여부를 최고경영자(CEO)에게 연 1회 이상 보고하도록 했다.
정부는 지난해 대규모 해킹사태를 계기로 ISMS 인증 자체도 고도화한다. 과기정통부 관계자는 "연내 ISMS 인증을 체크리스트 중심에서 현장 실사 등으로 강화하고, 인증 대상도 단계별로 구분해 대상 사업자를 발표할 계획"이라며 "달라진 ISMS 인증 방식을 알뜰폰에도 적용할 것"이라고 말했다.