<김세준 과학기술정보통신부 사무관>
안녕하십니까? 과기정통부 대변인실 김세준입니다.

5월 27일 월요일 정례브리핑을 시작하겠습니다.

오늘 정례브리핑 이후에는 예고드린 대로 알뜰폰 보안역량 강화 관련된 내용으로 정보보호기획과장님, 김연진 과장님께서 브리핑을 해 주실 예정입니다.

먼저, 정례브리핑 간단하게 말씀드리겠습니다.

금주 보도계획과 주요 장차관님 일정은 기배포해 드린 보도계획을 참고해 주시기 바랍니다.

먼저, 오늘 월요일에는 과학기술유공자 헌정식이 있습니다.

2023년 과학기술유공자 신규 지정 4명에 대한 증서 수여 등의 헌정행사가 있습니다. 5월 27일 월요일 오후 3시 서울웨스틴조선호텔에서 이종호 장관 참석으로 진행이 됩니다.

내일 28일에는 ASEAN 사무총장 면담이 있습니다.

한-ASEAN 디지털 혁신 플래그십 프로젝트, ASEAN 국가 R&D 정보 시스템 구축 추진 등 디지털 및 과학기술 협력방안을 논의할 예정입니다. 5월 28일 화요일 오후 2시 30분 중앙우체국에서 이종호 장관 참석으로 진행이 됩니다.

5월 29일 수요일에는 이공계 활성화 T/F 5차 회의가 있습니다.

이공계 비전 제시 및 이공계 인재 유입 촉진·육성 등을 논의하기 위해서 T/F 5차 회의를 진행합니다. 5월 29일 수요일 오후 4시 한국표준과학연구원에서 1차관님 참석으로 진행이 됩니다.

5월 30일 목요일에는 한국파스퇴르연구소 20주년 기념행사가 있습니다.

한국파스퇴르연구소 개소 20주년을 맞아 기념행사와 성과 및 비전을 공유합니다. 5월 30일 목요일 오전 10시 한국파스퇴르연구소 대강당에서 1차관님 참석으로 진행이 됩니다.

같은 날 제2회 글로벌 R&D 특별위원회가 개최됩니다.

글로벌 플래그십 프로젝트 선정안, 글로벌 거점센터 운영방안 등에 대한 주요 정책 심의가 있을 예정입니다. 5월 30일 오후 2시 국가과학기술 자문회의 대회의실에서 혁신본부장님 참석으로 진행이 됩니다.

마지막으로, 과기정통부의 연구생활장학금 관련 이공계 대학원생 의견 수렴이 있습니다.

과기정통부, 연구생활장학금 및 대학원 대통령과학장학금 등에 대한 이공계 대학원생들을 만나서 의견을 수렴할 예정입니다. 5월 31일 금요일 오후 2시 한양대학교에서 이종호 장관 참석으로 진행이 됩니다.

이어서 알뜰폰 보안역량 강화에 대해서 정보보호기획과 김연진 과장님께서 브리핑을 이어서 진행해 주실 예정입니다.


<김연진 과학기술정보통신부 정보보호기획과장>
'알뜰폰 보안역량, 획기적으로 개선한다.' 보도 내용에 대해서 말씀드리겠습니다.

기존 이동통신사보다 약 30% 이상 저렴한 요금제를 제공하는 알뜰폰은 온라인에서 비대면 방식으로 편리하게 가입할 수 있었던 장점이 있습니다. 그러나 일부 알뜰폰사의 보안취약점으로 인해 국민들에 피해가 발생한 사례가 있었습니다.

이에 과기정통부는 비대면 본인 확인을 우회하여 타인 명의로 휴대폰이 부정하게 개통되는 피해를 방지하기 위해서 전담반을 운영하여 강도 높은 근본 대책을 마련하였습니다.

우선, 온라인에서 휴대폰 개통이 가능한 모든 알뜰폰 사업자를 대상으로 본인 확인 우회 취약점에 대한 점검을 전면적으로 실시하였고, 일부 사업자에 대해서는 서비스 기술적·관리적 취약점 전반에 대해 점검하기도 하는 등 알뜰폰 업계의 전반적인 보안역량 강화를 적극 추진하였습니다.

아울러, 알뜰폰 시스템과 이통사 시스템을 연계하여 이통사 시스템에서 한 번 더 가입 신청자의 본인 확인을 하도록 하여 본인 확인을 우회하여 타인 명의로 휴대폰 부정 개통이 일어날 가능성을 차단하였습니다.

또한, 과기정통부는 알뜰폰 업계의 보안 수준을 금융권 수준으로 대폭 강화하는 대책도 마련하였습니다.

모든 알뜰폰 사업자가 정보보호관리체계 인증을 받고 정보보호 최고책임자 지정·신고하도록 제도를 개선하고자 합니다. 제도 이행의 실효성 확보를 위해 알뜰폰 사업 등록 시 정보보호관리체계 인증계획과 정보보호 최고책임자 신고계획도 제출하도록 의무화도 추진하고자 합니다.

과기정통부는 앞으로도 알뜰폰의 비대면 부정 개통으로 인한 국민 피해 예방에 만전을 기해 나가도록 하겠습니다. 감사합니다.


[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.

<질문> 이통사 시스템하고 연계하겠다고 했는데요. 이게 어떤 식으로 되는지 구체적으로 궁금하고요. 그리고 두 번째는 ISMS는 기준이 있어서 이미 받고 있는 사업자가 있을 텐데 현재 받고 있는 사업자는 누구인지 궁금하고, 마지막으로 의무화가 대상이 아닌 사업자 대상으로 하는 건 법령 개정을 할 텐데 이게 어떤 식으로 진행되는 건지 궁금합니다.

<답변> (김연진 정보보호기획과장) 일단 제가 두 번째 질문부터 먼저 답변을 하도록 하겠습니다. 현재 모든 알뜰폰 사업자가 다 ISMS 인증을 받고 있는 것은 아닙니다. 일부 10 몇 개의 업체가 이미 ISMS 인증을 받고 있는 업체가 있습니다. 그런데 저희는 전체 알뜰폰 업체의 보안 강화를 위해서 이번에 제도 개선을 추진해서 전체 알뜰폰 사업자들이 정보보호관리체계 인증을 받도록 제도 개선을 할 예정인데, 저희가 시행령을 개정해서 전체 알뜰폰 업체가 ISMS 인증을 받도록 그렇게 제도 개선을 해 나가도록 할 예정입니다.

<질문> ***

<답변> (김연진 정보보호기획과장) 지금 통신국에서... 전체 알뜰폰 업체는 80여 개가 조금 넘는 거로 알고 있습니다.

<답변> (최광기 사이버침해대응과장) *** 사이버침해대응과장 최광기입니다. 현재 알뜰폰 업체들 중에서 ISMS 인증을 받고 있는 업체는 약 22개 정도입니다.

<질문> ***

<답변> (김연진 정보보호기획과장) 전체 알뜰폰 업체들은 80개 조금 넘는 업체가 있습니다. 그리고 첫 번째 질문에 대해서 '이통사하고 알뜰폰사하고 어떻게 연동이 되냐?'라는 질문에 대해서는 일단은 이통사 망을 알뜰폰 업체는 이통사 망을 임대해서 사업을 하고 있습니다. 그래서 사업 구조상 비대면 개통 과정에서 이통사에 개통을 요청해야 됨에 따라서 이통사가 최종적으로 알뜰폰을 개통하기 전에 직접 본인 확인을 한 번 더 하도록 그렇게 저희가 시스템을 연동해서 그렇게 구현하도록 했습니다.

<질문> 기존에 피해 발생했던 피해 사례 혹시 구체적인 예시 같은 거 있으면 하나 설명 부탁드리고요. 그리고 여기 인증체계 의무화하면서 업체 입장에서는 비용이라든가 절차상 번거로움이 생길 수도 있을 것 같은데, 이런 것 비용이라든가 앞으로 해야 되는 부분들 조금 더 명확하게 설명 좀 부탁드립니다.

<답변> (김연진 정보보호기획과장) 피해 사례에 대해서는 저도 언론에서 아마 다 아시다시피 알뜰폰을 통해서 금융 피해가 난 거로 저도 알고는 있는데, 구체적인 피해 사례 같은 경우는 경찰에서 수사를 하고 있는 상황이기 때문에 제가 말씀드리기에는 한계가 있는 점 양해 부탁드립니다.

그리고 인증을 받기 위해서 당연히 업계에 부담이 갈 수가 있습니다. 비용 부담이나 아마 절차적인 부담이 갈 수도 있지만 저희가 영세한 알뜰폰 업체의 부담을 경감시키기 위해서 저희가 소기업 같은 경우에는 간편인증을 적용받을 수 있도록 현재 제도 개선이 추진 중에 있고요.

또한, 알뜰폰 사업자 대상으로 ISMS 구축 운영 교육도 실시해서 기업들이 ISMS 인증 진입에 대한 부담을 최소화하도록 저희도 같이 노력을 해 나갈 예정입니다.

<질문> (온라인 질의 대독) 먼저, 디지털투데이 기자님 질문인데요. '모든 알뜰폰 사업자의 ISMS 인증으로 중소 알뜰폰에게는 부담이 큽니다. 이것이 사실상 알뜰폰 진입 장벽으로 될 수 있는데 이것에 대해서 어떻게 생각하시는지요?'하고요. '일부 알뜰폰 퇴출 작업으로 비춰질 수도 있습니다.'라고 질문하셨습니다.

<답변> (김연진 정보보호기획과장) 답변드리겠습니다. ISMS 인증을 받도록 하는 거는 알뜰폰 업체한테 조금 비용 부담이 될 수도 있습니다. 그런데 지금 저희가 비용 부담이 될 수 있지만 정보 보안이라는 것은 정보통신서비스 기업이라면 당연히 해야 하는 기초적인 의무라고 생각이 됩니다. 그리고 소비자 피해를 방지하기 위해 국민의 피해를 방지하기 위해서도 알뜰폰사가 정보 보호, 보안 강화에 힘써야 되는 부담이 있습니다.

그래서 제가 조금 전에도 말씀드렸듯이 알뜰폰 업체의 부담을 경감시키기 위해서 소기업 같은 경우에는 간편인증을 적용받을 수 있도록 저희도 제도 개선을 추진 중에 있고, 또 교육도 실시해서 진입에 대한 부담을 최소화하려고 그렇게 생각하고 있습니다.

현재 ISMS 인증을 부담으로만 생각하지 마시고 알뜰폰 업체의 전반적인 보안수준을 높이는 계기라고 생각해 주시면 감사하겠습니다.

<질문> (온라인 질의 대독) KBS 기자님도 온라인상으로 질문을 주셨습니다. 질문이 많은데요. 천천히 읽어드리겠습니다. 먼저, '과기정통부가 전담반을 구성해서 운영한 결과, 알뜰폰 업체들에서 어떤 취약점이 발견이 됐나요? 기술적·관리적 취약점으로 나누어서 설명을 부탁드립니다.'

그다음 질문은 '취약점 발견된 업체 중 개선하지 않은 업체는 몇 곳이고, 어떤 행정처분이 내려지나요?' 하는 질문입니다. 이후에도 질문이 있는데요. 이거 먼저 하고 답변하고 질문하겠습니다.

<답변> (김연진 정보보호기획과장) 먼저, 전담반 구성에서 어떤 취약점이 발견됐는지에 대한 답변은 일단은 저희가 점검 항목이 굉장히 많이 있지만 그중에서도 서비스 측면 같은 경우에는 계속 암호 알고리즘을 업데이트를 해야 되는데 암호 알고리즘을 업데이트하지 않은 업체가 일부 발견이 됐고요. 그다음에 서버 계정 관리가, 인프라 측면에서는 서버 계정 관리가 미흡한 측면도 있었고, 그다음에 관리적 측면에서도 일단 정보보호 최고책임자 지정이 부실했던가 하는 그런 측면이 확인이 되었습니다.

그리고 취약점 발견된 업체 중 개선하지 않은 업체, 업체의, 취약점 발견된 업체를 구체적으로 말씀드리기는 제가, 말씀드리지 못하는 거에 대해서는 양해를 부탁드리고요.

저희가 취약점이 발견된 업체에 대해서는 저희가 보안을 강화하도록 시정명령을 한 바가 있습니다. 그래서 시정명령을 해서 보안을 강화하도록 해서 지금 현재는 모든 알뜰폰 업체가 본인 확인 우회 취약점으로 인한 비대면 부정 개통이 발생하지 않은 것으로 확인이 되고 있습니다.

<질문> (온라인 질의 대독) 이어서 질문입니다. 아까 한 번 나왔던 것 같은데요, 알뜰폰...

<답변> (김연진 정보보호기획과장) 그거는 아까 대답을 한 것 같아요.

<질문> (온라인 질의 대독) 네, 알뜰폰 시스템과 이통사 시스템 연계해서 이통사 시스템에서 한 번 더 가입 신청서를 확인하고 있는데 이게 어떤 구조로 가능한 건지, 이거는 아까 질문이 나왔던 것 같고요.

그리고 이통사 또한 NICE 같은 본인 확인 기관에서 받은 정보를 토대로 확인하는 건지 궁금하고요. 기존 이통사에 가입한 적이 없는 사람도 이통사에서 본인 확인이 가능한 건지 궁금합니다. 그리고 이 대책이 본인 확인 과정에서 파라미터 조작을 막을 수 있는 대책인지가 질문입니다.

<답변> (김연진 정보보호기획과장) 말씀드렸듯이 알뜰폰사는 이통사 망을 임대해서 사업을 영위하고 있습니다. 그래서 알뜰폰 사업 구조상 비대면 개통 과정에서 이통사에 개통을 요청을 해야지 되도록 되어 있고, 그래서 이통사가 최종적으로 개통 전에 직접 본인 확인임을 비교 검증하는 그런 검증 과정을 한 단계 더 거치도록 저희가 시스템을 연동해서 구현을 했습니다.

그래서 파라미터 조작은 저희가 업체들한테 파라미터, 클라이언트단에서 파라미터 조작이 되지 않도록 서버단에서 본인 확인이 이루어지도록 다 조치를 취하도록 저희가 여러 번 권고를 했고 지금 조치가 취해진 것으로 알고 있습니다.

<질문> (온라인 질의 대독) 그다음 질문입니다. '현재 사업을 영위하고 있는 알뜰폰 업체들이 정보보호 최고책임자를 지정·신고하지 않으면 알뜰폰 업체들에게 어떤 불이익이 가는 건가요?'하고요.

'알뜰폰 부정 개통을 시도하는 범죄 조직에 대한 수사 상황이 궁금합니다. 과기부, 과기정통부 차원에서 경찰과 공조하는 등 파악하고 있는 상황이 있습니까?' 하는 질문입니다.

<답변> (김연진 정보보호기획과장) 현재도 알뜰폰 사업자들은 정보보호 최고책임자를 지정하도록 돼 있습니다. 그런데 저희가 제도 개선을 해서 지정한 CISO 정보보호 최고책임자를 신고하도록, 저희한테 신고하도록 제도 개선을 할 예정인데, 현재도 최고책임자를 지정하도록 돼 있고 만약에 지정을 안 했을 경우에는 과태료가 부과될 수가 있습니다. 신고를 안 했을 경우에, 신고를 안 했을 경우에 과태료가 부과될 수 있습니다.

그리고 저희가 경찰과도 긴밀하게 협조를 하고 있고 경찰에서 저희한테 필요한 협조를 구하면 저희가 협조를 해 주고 있습니다.

<질문> (온라인 질의 대독) 아이뉴스24 기자님 온라인 질문이 하나 있습니다. 알뜰폰 개통 절차에 대해서 보안 문제가 제기되면서 개통 과정과 본인 확인 시스템의 보안 취약점이 개선될 때까지 알뜰폰 업무를 잠정 중단해서 국민 피해를 최소화하겠다는 것이 우본의 입장이었습니다. 오늘 종합대책을 마련해 발표하셨는데 우체국 알뜰폰 개통 언제 재개될 예정인지 혹시 들으신 바 있으면 답변 부탁드리겠습니다.

<답변> (김연진 정보보호기획과장) 제가 우체국 알뜰폰 개통에 대해서는 제가 확인을 해서 그거는 별도로 제가 답변을 드리도록 하겠습니다.

<질문> 안녕하세요? 아까 질문이 잠깐 나왔던 것 같기는 한데 답이 명확하게 안 나온 것 같아서, 아까 CISO 같은 경우에는 제대로 신고가 안 될 경우에 과태료 처분을 한다고 하셨는데 ISMS 같은 경우에는 이 인증체계를 마련하지 못했을 때 어떤 행정처분이 마련이 되는지에 대해서 답변 부탁드리고요.

그리고 자료를 보면 알뜰폰 전면 검사를 통해서 전반적인 보안역량 강화를 추진했다고 했는데 어떤 게 추진됐는지도 설명 부탁드립니다.

<답변> (김연진 정보보호기획과장) 저희가 알뜰폰에 대해서 본인 확인 우회 취약점이 있었기 때문에 저희가 알뜰폰 업체들한테 보안 강화를 하라고 한 내용은 저희가 클라이언트단에서 본인 확인을 하도록 하는... 하지 말고 그 알뜰폰 업체와 본인 확인 기관의 서버단에서 본인 확인임을 비교 검증하도록 시스템을 개선을 하라고 저희가 여러 번 권고를 해서 지금 대부분 알뜰폰 업체가 그런 개선 조치가 완료가 됐습니다.

그리고 ISMS 인증... 저희가 전체 알뜰폰 업체를 대상으로 해서 ISMS 인증을 받도록 제도 개선이 끝난 다음에는 만약에 알뜰폰 업체가 ISMS 인증을 받지 않는 경우에는 아까 말씀드렸듯이 과태료 처분이 나갈 수도 있습니다.

<질문> 아까 ISMS 관련해서 이게 일정 기준이 있고 그 밑의 단은 지금 제도 개선을 통해서 한다 그랬는데 법령 개정을 통해서 한다고 하셨는데 그 시기가 언제쯤으로 저희가 예상을 할 수 있을지 궁금하고요.

그리고 아까 소기업은 간편인증을 하겠다고 하셨는데 소기업의 기준은 어떤 것인지, 그러면 소기업단은 간편인증을 하고 소기업 이상부터는 다 ISMS 인증을 무조건 받도록 하는 것인지, 그런 거 관련해서 구체적으로 설명 부탁드리겠습니다.

<답변> (최광기 사이버침해대응과장) 답변드리겠습니다. 일단, 소기업의 기준은 정보통신업 기준으로 했을 때 매출액 50억 원 미만을 소기업이라고 하고요. 말씀드렸다시피 지금 현재 소기업 같은 경우에는 지금 저희가 정보통신망법 시행령을 개정 중에 있는데 간편인증을 받을 수 있도록 지금 개정 중이고, 그것에 대해서는 약 7월 중에 시행령이 개정될 것으로 보입니다.

그리고 소기업 이상의 기업에 대해서, 중기업에 대해서는 저희가 일반적으로 그냥 ISMS, 현재 진행되고 있는 ISMS 인증을 받는다고 보시면 되겠습니다.

<답변> (사회자) 질문 더 있으십니까? 질문이 더 없으신 것 같습니다. 브리핑을 모두 마치도록 하겠습니다. 모두 고생하셨습니다. 감사합니다.

<답변> (김연진 정보보호기획과장) 감사합니다.

<끝>