앞으로 모든 알뜰폰(MVNO) 사업자는 정보보호관리체계(ISMS) 인증을 받고, 정보보호최고책임자(CISO)를 지정·신고해야 한다. 알뜰폰의 비대면 가입 절차를 악용해 전화금융사기에 쓰이는 대포폰을 부정개통하는 전화금융사기를 막기 위해서다.
과학기술정보통신부는 27일 정부세종청사에서 ‘알뜰폰 부정가입 방지 대책’ 관련 백브리핑을 열고 이같이 발표했다. 김연진 정보보호기획과장은 “시행령을 개정해 전체 알뜰폰 업체가 ISMS 인증을 받도록 제도 개선할 예정”이라고 말했다.
ISMS는 정보통신망의 안전성을 확보하기 위한 기술적ㆍ물리적 보호조치 등 일정 수준 이상의 정보보호 체계 구축을 인증하는 제도다. 현재 ISMS 인증을 받은 알뜰폰 업체는 약 22개다. 과기정통부는 이를 80여 개의 전체 알뜰폰 업체로 확대한다는 방침이다.
정보보호최고책임자(CISO)도 의무적으로 지정ㆍ신고하도록 한다. 김 과장은 “현재도 알뜰폰 사업자는 CISO를 지정하도록 돼 있다”며 “지정한 CISO를 신고하도록 제도개선할 예정”이라고 했다. 김 과장은 CISO를 신고하지 않으면 과태료가 부과될 수 있다고 덧붙였다.
이동통신 3사 시스템과 알뜰폰 시스템을 연계한 본인 확인 절차도 강화한다. 가입 신청자의 본인 확인을 ‘한 번 더’ 거쳐 타인 명의의 부정 개통을 막는 방안이다. 김 과장은 “알뜰폰 업체는 이통3사 망을 임대해서 사업하고 있기 때문에 (알뜰폰의) 비대면 가입 시 이통사에 개통을 요청해야 한다”며 “알뜰폰을 개통하기 전 (이통3사가) 직접 본인 확인을 한 번 더 하도록 시스템을 구현했다”고 설명했다.
매출이 50억 원 미만인 소기업에는 간편인증을 적용한다. ISMS 간편인증을 적용할 경우, 점검 항목이 80여 개 항목에서 40여 개 수준으로 줄어든다. 업계 관계자에 따르면 매출 50억 원 미만인 기업은 약 20~30개 정도다. 과기정통부 관계자는 “중소벤처기업부에서 ‘소기업’이라는 확인을 받은 기업 대상으로 간편인증을 적용할 것”이라고 말했다.
알뜰폰은 온라인에서 비대면 방식으로 편리하게 가입할 수 있다. 이름과 주민등록번호를 활용한 1단계 실명 확인 후 가입 홈페이지와 네이버ㆍ카카오를 통한 2단계 본인인증을 거치면 개통된다. 이같은 간소한 가입절차를 악용해 타인의 개인정보를 탈취한 후 대포폰을 개통하는 범죄 사례가 발생한 것이다.
과기정통부와 한국인터넷진흥원(KISA)은 온라인으로 휴대폰 개통이 가능한 사업자를 대상으로 본인확인 우회 취약점에 대한 점검을 전면 실시했다. 일부 사업자에 대해서는 주요 정보보호 관리체계 전반을 점검하기도 했다. 과기정통부에 따르면, 서비스상 암호 알고리즘이 갱신되지 않거나 서버 계정 관리가 미흡했던 사례가 있었다.
류제명 네트워크정책실장은 “보안 강화는 알뜰폰 업체에 비용 부담이 될 수 있지만, 휴대폰이 금융 거래 등 국민 삶에 미치는 영향이 막대한 만큼 이에 상응하는 보안 역량은 필수”라며 “이번 대책으로 알뜰폰 업계의 전반적 보안 수준이 크게 향상되기를 기대하며 앞으로도 알뜰폰의 비대면 부정개통으로 인한 국민 피해 예방에 최선을 다하겠다”고 했다.