검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'CISO'통합검색 결과 입니다. (7건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

[보안리더] 지정호 토스 CISO "강력 보안, 편한 금융"

토스 목표는 '보안은 강력하고, 사용은 편리하게'입니다. 토스는 정보보호선언문도 발표했어요. 첫줄에 '토스는 편리하고 안전한 토스 서비스를 제공하기 위해 정보 보호에 최선을 다할 것이다'라고 썼습니다. 안전하면서도 편리한 것은 상충하기에 사실 힘들어요. 그래서 토스는 보안 위협을 평가하고 그 수준에 맞춰 자동 대응하려고 노력한답니다. 지정호 토스(운영사 비바리퍼블리카) 정보보호최고책임자(CISO)는 지난주 서울 강남구 토스 사무실에서 지디넷코리아와 만나 이같이 밝혔다. 지 CISO는 “금융 혁신을 목적으로 삼은 핀테크 회사가 세계 최고 보안팀을 만든다고 해서 2017년 토스에 입사했다”며 “자율 근무 같은 수평적인 기업 문화도 궁금했다”고 말했다. 컴퓨터 학도가 금융사에서 일하는 이유다. 핀테크 업체가 살아남는 비결이기도 하다. 핀테크(FinTech)는 금융(Finance)과 기술(Technology)의 합성어다. 토스는 개인정보보호책임자(CPO)와 CISO를 따로 두고 있다. CISO는 회사 전반 정보 보호를 책임지고, CPO는 그 중에서도 개인정보 보호를 맡는다. 토스 CISO 조직에 CPO 조직이 속했다. 지 CISO는 “토스는 전자금융 거래 매출 비중이 큰 전자금융업자”라며 “'겸직 금지를 예외로 해달라' 신청할 수 있었으나 보안 수준을 높이고자 CISO와 CPO를 각각 뒀다”고 강조했다. 지 CISO는 토스가 앞장선 정보 보호 사례를 여럿 언급했다. “2018년 업계에서 처음으로 정보 보호 공시 제도에 참여했다”며 “비교적 많이 투자한다”고 말했다. 토스는 2023년 정보 보호에 125억6천만원 투자했다. 전체 투자액의 10.5%를 정보 보호에 썼다. 토스 보안 인력은 45명으로, 이 또한 10.3%다. 토스는 2021년 정보 보호 공시 우수 기업으로 뽑혔다. ▲2020년 5월 앱 보안 솔루션 '토스가드' ▲2020년 7월 '토스 안심 보상제' ▲2020년 10월 사기 의심 계좌 알림 ▲2022년 3월 '피싱 제로' ▲2023년 토스 보안 설명회 '가디언스' 개최 등도 토스가 금융권에서 최초로 한 일로 꼽았다. 지 CISO는 국내 정보보호 기업 AI스페라가 지난달 서울 삼성동 그랜드인터컨티넨탈서울파르나스호텔에서 연 '공격 표면 관리(ASM·Attack Surface Management)와 위협 인텔리전스(TI·Threat Intelligence) 설명회'에서도 “사기 친 적 있는 계좌로 토스 사용자가 돈 보내려 하면 경고해 알려준다”며 “첫 피해자는 못 막더라도 두 번째부터는 막아야 한다”고 소개한 바 있다. 온라인 중고 거래에서 사기꾼이 '토스로 보내지 말고 다른 계좌로 보내라'고 한다는 이야기도 전했다. 피싱 제로는 피싱에 쓰는 악성 앱이 휴대전화에 있다면 토스를 실행했을 때 알려 지우도록 돕는 서비스다. 토스 가디언스는 다른 회사 보안 담당자에게 토스 보안 성과와 요령을 알리는 행사다. 올해 3회째로, 지난해보다 많은 사람을 하반기 부르기로 했다. 토스는 보안 취약점을 신고한 사람에게 상을 주는 버그 바운티(Bug Bounty)도 2022년부터 시행하고 있다. 지 CISO는 “비교할 수 없을 만큼 안전한 금융을 만들겠다는 다짐”이라며 “누구나 토스 서비스와 홈페이지뿐만 아니라 토스 계열사 홈페이지 보안 취약점을 제보하면 위협 수준에 따라 한 건에 3천만원까지 준다”고 설명했다. 지 CISO는 정보 보호 전문 기업과 게임·엔터테인먼트 업체를 거쳐 토스에서 일하고 있다. 그는 “정보 보호 기업에서 새로운 보안법을 연구해 국가 사이버 안보에 기여한다는 보람을 느꼈다”며 “이제는 회사 자산과 소비자를 지키는 성취감을 얻는다”고 웃었다. 아래는 지정호 토스 CISO 주요 경력. 2021 고려대 금융보안학과 석사 2006.02~2007.04 엘림넷 정보기술(IT) 부문 2007.04~2010.12 아프리카티비 보안 부문 2011.01~2015.06 윈스 보안 부문 2015.06~2017.06 넥슨코리아 보안 부문 2017.06~2021.02 비바리퍼블리카 보안 부문 2021.03~2024.12 토스증권 CISO 2024.12~현재 비바리퍼블리카 CISO

2025.04.09 15:42유혜진

부처 정보보호책임관 국장급 격상됐다

주요 시설에 대한 정부의 정보보호 인식이 한층 강화됐다. 기존에 과장급이 맡던 부처내 정보보호책임관을 국장급으로 승격했다. 3일 지디넷코리아 취재에 따르면 국가정보원은 지난달 26일 기획재정부·과학기술정보통신부 등 23개 중앙행정기관 정보보호책임관을 대상으로 사이버 안보 교육을 시행했다. 앞서 정부는 지난해 12월 주요 정보통신 기반 시설 보호 담당자 직위를 기존 과장급에서 고위공무원(국장급)으로 상향했다. '정보통신기반 보호법' 시행령을 개정해 이룬 조치다. 정보통신기반 보호법 시행령 제11조는 관계중앙행정기관장이 소속 공무원 중 주요 정보통신 기반 시설 보호 업무를 담당하는 고위공무원단에 속하는 정보보호책임관을 지정하도록 했다. 여기서 관계중앙행정기관이란 기재부·외교부·국방부·과기부 같은 행정부를 뜻한다. 정보보호책임관은 주요 정보통신 기반 시설 보호 계획을 시행하고, 피해를 입으면 빠르게 대응해야 한다. 정부는 통신·금융·의료 분야 등의 민간 157개, 공공 287개 기반 시설을 사이버 침해 행위로부터 지킬 주요 정보통신 기반 시설로 정해 관리하고 있다. 민간 157곳은 과기부가, 공공 287곳은 국정원이 관리한다. 민간 157곳의 경우 관할 부처가 8곳에 달한다. 이들 8곳의 정보보호책임관이 기존 과장급에서 국장급으로 직급이 높아진 것이다. 특히 과기부는 업무 특성을 감안해 다른 부처가 1명의 정보보호책임관을 둔 것과 달리 2명(정책기획관과 정보보호네트워크정책관)이 정보보호책임관을 맡았다. 지난달 26일 국정원 교육에 참석한 신용석 대통령실 사이버안보비서관은 “높은 직급으로 새로 임명된 정보보호책임관들이 활약하길 기대한다”며 “기반 시설을 보호하기 위해 필요한 사항을 적극적으로 돕겠다”고 말했다. 2010년대 들어 정부에도 민간 정보보호최고책임자(CISO) 같은 고위직이 필요하다는 목소리가 커졌다. 정부야말로 해킹 1순위 표적이어서다. 그러다 큰 사건이 터졌다. 2023년 11월 국가행정망 전산이 마비된 일이 일어났다. '정부24' 행정 포털이 멈춰 전자증명서 발급, '보조금24' 나의 혜택 조회, 각종 원스톱 서비스, 온라인 여권 재발급 신청, 건축물대장 및 전입신고 민원 등이 중단됐다. 당시 장애 원인을 곧바로 못 찾아 국민에게 재빨리 알리지도 못했다. 국가보안기술연구소장을 지낸 박춘식 아주대 사이버보안학과 교수는 “'정보보호 고위공무원이 있어야 한다'고 요구한 지 오래됐다”며 “평소 예산 없다고 미루다가 사고 나야 뒤늦게 움직인다”고 말했다. 박 교수는 “여태 다른 부서 사람이 스쳐 지나가듯 정보보호 업무를 맡느라 전문적인 정책을 만들기 어려웠다”며 “정부 보안은 국정원만 하는 게 아니라 각 부처가 스스로 해야 한다”고 지적했다. 이어 “이제 행정부를 따라 입법부와 사법부도 나설 차례”라며 “요즘에야 선거관리위원회 사태가 언급되지만, 헌법기관은 보안이란 전혀 생각 안 하고 엉망이었다”고 비판했다. 한편 민간에는 CISO 제도가 2012년 금융권에 먼저 도입됐다. 현재는 자산총액 5조원 이상이거나 정보보호관리체계(ISMS) 인증을 받아야 하는 사업자 중 자산총액 5천억원 이상 기업으로 확대됐다. 정부는 2021년에는 CISO가 어떤 직책도 겸하지 않고 정보보호 업무만 하게끔 '정보통신망 이용촉진 및 정보보호 등에 관한 법률' 시행령을 개정했다. CISO는 ▲정보보호·정보기술(IT) 석사 이상 학위를 취득했거나 ▲학사 취득, 3년 이상 경력 ▲전문학사, 5년 이상 경력 ▲10년 이상 경력자 중 하나를 갖춰야 한다. 박 교수는 “민간에 CISO를 의무로 두라면서 정부는 지금껏 안 한 게 모순”이라며 “어떤 정책이든지 정부가 모범적으로 시범 보이고 민간이 따르는 순서가 옳다”고 주장했다.

2025.04.03 16:45유혜진

[보안리더] 조영철 KISIA 회장 "보안전문가 경력관리 필요"

"보안 전문가 경력 관리 체계를 만들겠습니다. 신입사원이 어떤 과정을 거치면 정보보호최고책임자(CISO)까지 오를 수 있다는 기준을 알리는 겁니다. 이렇게 CISO 역량을 키우고 정보보호 기업 스스로도 보안 수준을 높이면 국내 정보보호 산업이 국가전략산업으로 자리잡는데도 도움이 될 것입니다." 조영철 한국정보보호산업협회(KISIA) 회장은 최근 서울 송파구 협회에서 열린 지디넷코리아와의 인터뷰에서 "첨단 산업으로 국가경쟁력을 끌어올리려면 정보보호 분야가 뒷받침돼야 한다"며 이같이 밝혔다. 조 회장은 지난해 2월 KISIA 17대 회장으로 취임했다. 서울대 제어계측학과 학·석사에 이어 서울대 전기공학부에서 박사 학위를 받았다. 이후 2000년 파이오링크를 설립해 대표를 맡고 있다. KISIA는 정보보호산업법에 의해 1998년 설립됐다. 조 회장이 대표인 파이오링크가 회장사, 소프트캠프가 수석부회장사다. 이를 포함해 311개 국내 정보보호 기업이 회원사로 활동 중이다. 아래는 조 회장과의 일문일답. -보안 전문가 경력 관리 체계가 왜 필요한가? 보안 전문가 경력 관리 체계는 정보보호 인력이 업계를 벗어나지 않고 기업에서 CISO 역할을 다하도록 경로를 알려주는 체계다. 조직의 정보보호 수준을 강화하려면 보안 전문가 경력 주기를 관리해야 한다. 이 일을 갓 시작한 사람부터 CISO까지 단계마다 경력을 설계할 필요가 있다. 지역별 CISO가 교류하며 성장할 수도 있다. 수도권과 달리 지방에 있는 기업에서 정보보호 인력은 교육 기회가 적다. KISIA는 기술 동향과 법·제도를 안내하고 직무 상담 등을 지원하겠다. -교육 프로그램과 아울러 인력 실태를 조사해야 한다는 지적이 있다 산업 맞춤형 인력을 양성하려면 직무 중심 인력 수급 현황을 제때 파악하는 게 매우 중요하다. 이를 위해 KISIA는 지난해 '사이버 보안 인력 수급 실태 조사'를 국가 승인 통계로 개발했다. 정기적으로 인력 수급 현황을 점검하고, 이를 바탕으로 전략을 보완할 것이다. 조사 결과를 토대로 직무 교육을 하고, 인력 관리 방안을 실행하는 것은 물론이다. -정보보호 기업도 해커 공격을 받는다던데, 해법이 있나? 한국인터넷진흥원(KISA)이 발표한 사이버 위협 동향에 따르면 지난해 침해 사고는 1천887건으로 1년 전보다 48% 늘었다. 중소기업이 주로 피해입은 것으로 나타났다. 해커가 개발 서버를 공격해 악성코드를 심는 경우가 많았다. 국내 많은 보안 기업 역시 일반 중소기업과 마찬가지로 정보보호에 투자해야 하지만 여력이 없다고 미루곤 했다. '스스로 잘하고 있다'고 인식하기도 했다. 이제 반성한다. 정보보호 기업은 고객 내부 서버를 제어하는 권한을 위임받기에 매우 높은 수준의 보안이 요구된다. KISIA는 올해 정보보호자율보안협의체를 꾸리기로 했다. 김진수 트리니티소프트 대표가 협의체 의장을 맡는다. 보안 수칙을 제시하는 한편 우수 사례를 공유해 사회적 차원의 자율 보안을 확보할 것이다. -수출이 한국경제 화두다. 국내 정보보호 산업이 수출산업이 되려면? KISIA는 올해 정보보호 해외진출협의체를 새로 운영할 계획이다. 지난해 운영하던 일본진출협의체를 해외진출협의체로 확대했다. 기업별로 어떻게 해외에 진출하면 좋을지 논의하고 기업 간 협력 방안을 찾을 예정이다. 인도네시아 같은 동남아시아에서 현지 우수 인력 양성 사업(SMTP)을 하고 있는데, 이와 관련된 협의체도 운영하고 있다. 해외에서 인증받으려는 국내 정보보호 기업은 한국 정부로부터 지원받을 수 있다. 미국에서 열리는 세계 최대 정보보호 산업 전시회 'RSAC'를 비롯한 해외 전시회에 KISIA가 한국공동관을 운영하므로 여기 참여해도 좋다. 정보보호 제품은 설계할 때부터 국제 표준을 준수해 만들어지기에 해외에서 경쟁력을 기본적으로 갖췄다고 생각한다.

2025.02.15 13:37유혜진

오픈AI, 美 최대 정부·안보 데이터 기업 보안 전문가 영입

미국 최대 정부·안보 전문 데이터 분석 회사인 팔란티어 테크놀로지스의 최고 정보 보안 책임자(CISO)가 오픈AI에 합류했다. 17일 IT 전문 매체 테크크런치에 따르면 데인 스터키 전 팔란티어 전 CISO가 오픈AI의 새로운 CISO로 임명됐다. 그는 매트 나이트 오픈AI 보안책임자와 함께 일하며 인공지능(AI) 보안 강화에 힘 쓸 예정이다. 스터키 CISO는 지난 2014년 팔란티어에 합류해 정보 보안팀을 이끌었으며 탐지 엔지니어링 및 사고 대응 분야에서 중요한 역할을 해왔다. 그는 상업 및 정부 부문 모두에서 오랜 경험을 쌓아온 것으로 알려졌다. 팔란티어는 지난 2003년 '페이팔 마피아'로 유명한 유명 기업가인 피터 틸이 설립한 미국 최대의 데이터 분석 기업으로, 백악관·국방부 등 정부기관을 주요 고객으로 둔다. 국가 안보와 관련된 프로젝트에서 빅데이터를 활용한 분석으로 유명하다. 오픈AI는 보안 체계 강화를 위해 관련 인사들을 적극적으로 영입하고 있다. 최근에는 폴 나카소네 국가안보국(NSA) 전 국장을 이사회 구성원으로 임명하며 정부 및 군사 분야와의 협력을 강화해 왔다. 특히 올해 1월부터는 군사 부문에 AI 기술을 제공하기 시작했다. 사이버 보안 관련 프로젝트에서도 미국 국방부와 소프트웨어 관련 협력을 진행하고 있다. 스터키 CISO는 "보안은 우리의 사명을 실현하는데 있어 필수적"이라며 "수억 명의 사용자들을 보호하고 안전한 일반인공지능(AGI)를 개발해 전 세계가 혜택을 받을 수 있는 미래를 만들겠다"고 밝혔다.

2024.10.17 09:42조이환

"우리 가입자는 안전하다"...SKT, 불법스팸과 전쟁 선포

"불법 스팸은 나날이 치밀해지고 고도화되고 있습니다. 가족 사칭 문자부터 대출 및 금융기관 사칭, 주식 리딩방 등 불법 스팸은 조직적으로 발전해 나가고 있습니다. SK텔레콤 고객은 안전할 수 있도록, 전사 차원으로 대응해 보자는 마음으로 태스크포스(TF)를 구성하게 됐습니다." SK텔레콤은 최근 전사 차원의 전담 태스크포스(TF)를 신설하고 '불법 스팸과의 전쟁'을 선포했다. 지난 몇 년간 불법 스팸 문자는 걷잡을 수 없이 증가하면서 사회 문제로 대두됐다. 올해 신고된 불법 스팸만 2억8천만건에 달한다. 이에 대한민국은 '스팸 공화국'이라는 오명까지 얻게 됐다. '엄마 나 핸드폰 고장 났어', '사장님께만 드리는 대박 정보', '부자가 될 마지막 기회! 아래 링크를 클릭하세요' 등의 문자에 우리는 너무 쉽게 노출되고 있다. 오히려 이러한 문자를 받지 않은 사람을 찾는 게 더 어려울 정도다. 최근 SK텔레콤 본사에서 만난 손영규 SK텔레콤 정보보호담당(CISO)은 "범죄 조직들은 불법 스팸 문자의 형태를 교묘하게 바꿔가며 수많은 개인에 피해를 주고 있다"며 "특히 재판매사 등 대량문자 발신 사업자들에 대한 규제를 우회해 불법 스팸을 대량 발송하는 추세"라고 설명했다. 불법 스팸은 통신사의 망을 통해 고객들에게 발송된다. 그렇다면 통신사들이 불법 스팸 문자를 직접적으로 막을 수는 없을까? 현재 통신사들은 경찰청, 한국인터넷진흥원(KISA) 등에 신고된 번호를 차단하는 사후 접근 방식을 취하고 있다. 손 담당은 "통신사가 문자 중계를 하는데 '왜 못 막냐?'라고 많이들 물어보시지만 통신사는 중계하는 역할이지, 감시하는 역할이 아니다"며 "통신사는 사후적인 측면으로 접근할 수밖에 없다. 불법 스팸을 보내는 재판매자나 중개 사업자 쪽에서 저감 활동이 일어나 한다"고 설명했다. 이동통신사는 발신된 메시지의 합법성 여부를 확인할 방법이 없다. 즉 착신 과정에서 임의로 조치할 수 없는 근본적인 한계가 존재한다는 것이다. 결국 통신사들은 불법 스팸 차단을 위한 직접적 대응에 어려움을 겪을 수밖에 없는 구조다. 손 담당은 "문자 중계사 및 재판매 회사들은 대부분 영세한 업자들이 많은데 이를 악용하는 스패머들이 많다. 또 알뜰폰을 여러개 개통해서 악용하는 스패머들도 있다"며 "(불법 스팸)절대량을 줄이기 위해서는 사전적인 측면에서 타이트한 관리가 필요하다"고 조언했다. 다만 최근 불법 스팸이 기승을 부리면서 SK텔레콤은 문자 중계사가 과도한 불법 스팸 문자를 발송할 경우에는 발송을 직접 제한하기로 했다. 이와 같은 방침을 밝힌 공문을 국내의 모든 문자 중계사에 전달했다. 불법 스팸 유형은 주기적으로 변화하고 있다. 올해 상반기 대출 및 금융 기관 사칭 문자들이 많아졌다가 최근에는 주식 리딩방 형태의 불법 스팸 문자가 급증했다. 여기에 URL을 첨부하는 방식의 스미싱 문자들도 기승을 부리고 있다. 과거에 유행했던 방식이 다시 돌아온 것이다. 손 담당은 "최근 기승인 방식을 차단하면 다른 방식이 증가한다. 또 예전에 유행했던 스미싱 방식의 문자들도 유입되고 있어 (회사 차원에서도) 어떻게 막을지 고민하고 있다"며 "스패머들이 갈수록 정교해지고 있다. 할 수 있는 사전 테스트를 다 해보고 통과하겠다 싶으면 스팸 문자를 발송하는데 거의 '기업'이라고 볼 수 있다"고 설명했다. SK텔레콤은 AI 기반의 불법 스팸 유형을 분석하는 시스템을 만들어서 불법 스팸 차단 활동을 해오고 있다. AI 기반 스팸/스미싱 필터링 시스템을 통해 지난해 1월부터 8월까지 약 3억4천만건의 문자 스팸, 약 474만 건의 스미싱 문자, 약 34만개의 음성 스팸 번호를 차단했다. 실제 고객의 신고 데이터 기반으로 학습을 시켜, 이제는 실시간 수준으로 차단할 수 있게 됐다고 한다. 실시간 수준으로 계속 차단하다 보니 눈에 띄게 감소하는 게 보였고, 이러한 성과를 바탕으로 전사 차원으로 대응하기 위해 TF를 꾸리게 됐다. 손 담당은 "지난 8월 '스팸 대응 TF'를 만들어서 기술 조직과 정보보호 조직, CR/PR 조직 등이 함께하고 있다. 각 영역별의 역량을 집결해 시너지를 내고자 하고 있다"며 "현재 임원 및 실무자들이 약 40여명 정도가 된다. 주기적으로 사장님에게 보고하는 등 전사적으로 대응하고 있다"고 말했다. 이어 그는 "'SK텔레콤을 쓰면 안전하다'는 인식을 주고 싶다. 고객들이 통신사를 선택하는데 '보안'은 굉장히 중요한 요소"라며 "고객들에게 신뢰를 주고, 신뢰를 받을 수 있도록 노력하고 있다"고 덧붙였다. TF는 앞으로 불법 스팸을 감지하고 차단하는데 필요한 기술을 지속 고도화하고, 사이버 범죄에 유기적으로 대응할 수 있는 체계를 갖추기 위해 노력할 예정이다. 일환으로 송수신 문자와 관련한 필터링 정책 업데이트 시간을 종전 1일 1회에서 10분당 1회로 단축했다. 또 불법 스팸 발송 번호 등록 기준을 더욱 엄격하게 강화했다. 손 담당은 "내부적으로 스팸 차단 시스템들이 AI 기반의 머신러닝으로 돼 있는데, 계속 고도화하는 작업을 하고 있다"며 "(통신사가)사후에 차단하긴 하지만, 그 차단 갭을 계속 줄여 2차, 3차 피해가 없었으면 한다"고 밝혔다. 나아가 정부와의 협력을 통해 실효성 있는 대책도 지속 마련해 나갈 계획이다. 실제 불법 스팸과 보이스피싱을 막기 위해 정부 부처와 긴밀한 공조를 이어가고 있다. SK텔레콤이 개발 중인 '온디바이스AI 통한 보이스피싱 감지기능'은 정부 부처의 가명 처리된 데이터를 기반으로 개발 중이다. 연내 출시를 목표로 하고 있다.

2024.09.18 09:32최지연

금융보안원, 금융권 보안대책 마련 나선다

금융보안원이 금융권 소프트웨어 공급망 보안체계에 대한 철저한 대비책 마련을 위해 행동에 나섰다. 금융보안원은 다음달 5일 여의도에서 '한국 금융보안의 현 주소와 나아갈 방향'을 주제로 세미나를 개최한다. 이번 세미나는 소프트웨어 공급망 보안체계의 중요성을 강조하고 정책·기술적 대응 방안을 논의하기 위해 마련됐다. 세미나에는 윤명근 국민대학교 교수, 이재용 KB국민은행 최고정보보안책임자(CISO), 지정호 토스증권 CISO, 이성권 엔키화이트햇 대표 등 다양한 전문가들이 참여한다. 이들은 패널 토론을 통해 IT 장애의 원인·영향과 소프트웨어 공급망 보안체계의 취약점을 검토할 예정이다. 참가 희망자는 금융보안원 홈페이지 사전등록을 통해 세미나에 참석할 수 있다. 사전등록은 31일부터 가능하며 현장등록도 허용된다. 김철웅 금융보안원장은 "세미나를 통해 금융권 전체가 소프트웨어 공급망 보안체계의 중요성을 인식하고 철저한 대비책을 마련하기를 기대한다"고 밝혔다.

2024.07.31 16:35조이환

알뜰폰 회사, ISMS 인증 의무화...부정개통 원천차단

앞으로 알뜰폰 회사들은 의무적으로 정보보호관리체계(ISMS) 인증을 받아야 한다. 비대면 부정 가입을 통한 금융 피해자가 발생하면서 과학기술정보통신부와 업계가 이같은 대책을 마련키로 한 것이다. 정부는 이를 위해 모든 알뜰폰 사업자가 ISMS 인증을 받고 사내에 정보보호최고책임자(CISO)를 지정토록 관련 법 시행령을 개정할 방침이다. 김연진 과기정통부 정보보호기획과장은 27일 브리핑에서 “알뜰폰 사업자 스스로 책임감을 갖고 기업의 정보보호 수준을 한층 높여가도록 할 예정이다”면서 “제도 이행의 실효성 확보를 위해 알뜰폰 사업 등록 시 ISMS 인증계획과 CISO 신고계획도 제출하도록 의무화도 추진한다”고 밝혔다. 알뜰폰은 온라인에서 비대면 방식으로 편리하게 가입할 수 있는데, 일부 알뜰폰사의 보안취약점으로 인해 국민들에 피해가 발생해 사회문제로 빚어졌다. 과기정통부는 이에 따라 비대면 본인확인을 우회해 타인 명의로 휴대폰이 부정하게 개통되는 피해를 방지하고 강도 높은 종합적 대책 마련을 위해 지난 3월부터 전문기관이 참여한 전담반(TF)을 운영해왔다. 전담반에서는 강도 높은 근본적 보안강화 대책 마련을 목표로 온라인으로 휴대폰 가입이 가능한 알뜰폰에 대한 신속한 보안점검, 시스템 보안강화 방안 마련, 제도개선 방안 도출 등 전방위적으로 다양한 대책을 논의하고 추진해왔다. 과기정통부와 한국인터넷진흥원은 온라인으로 휴대폰 개통이 가능한 모든 알뜰폰 사업자를 대상으로 본인확인 우회 취약점에 대한 점검을 전면적으로 실시했다. 또한 일부 사업자에 대해서는 주요 정보보호 관리체계 전반에 대해 점검했다. 이와 함께 이동통신 3사도 알뜰폰 부정개통 방지를 위한 알뜰폰 시스템 개선에 동참했다. 알뜰폰 시스템과 이통사 시스템을 연계해 이통사 시스템에서 한번 더 가입 신청자를 확인해 타인 명의의 알뜰폰 개통 가능성을 차단한 것이다. 류제명 네트워크정책실장은 “보안강화는 알뜰폰 업체들에게 비용부담이 될 수 있지만 휴대폰이 금융거래 등 국민들의 삶에 미치는 영향이 막대한 만큼 이에 상응하는 보안역량을 갖추는 것은 필수적”이라고 강조했다. 그러면서 “이번 대책을 통해 알뜰폰 업계의 전반적 보안 수준이 크게 향상되기를 기대하며 앞으로도 알뜰폰의 비대면 부정개통으로 인한 국민 피해 예방에 만전을 기해 나가겠다”고 말했다.

2024.05.27 11:40박수형