닫기 공유하기

대포폰 70%가 알뜰폰…"정보보호 인증으로 불법 개통 방지"

과기부 전담반 "암호 알고리즘 업데이트 미비 등 관리 부실 확인"
정보보호 책임자 지정·신고 의무화…"사업자 제도 진입 지원할 것"

[편집자주]

17일 오전 서울동부지검에 보이스피싱 범죄 합동수사단이 보이스피싱 조직이 범죄에 사용한 대포통장과 카드, 스마트폰 등을 공개하고 있다. 2022년 11월 기준 확인된 보이스피싱 피해 금액은 5,147억원, 발생건수는 20,479이다. 2023.1.17/뉴스1 © News1 구윤성 기자
17일 오전 서울동부지검에 보이스피싱 범죄 합동수사단이 보이스피싱 조직이 범죄에 사용한 대포통장과 카드, 스마트폰 등을 공개하고 있다. 2022년 11월 기준 확인된 보이스피싱 피해 금액은 5,147억원, 발생건수는 20,479이다. 2023.1.17/뉴스1 © News1 구윤성 기자

온라인서 비대면 본인확인 절차를 거치면 누구나 알뜰폰을 개통할 수 있으나 관련 보안은 허술했던 것으로 드러났다. 도용 명의로 대포폰을 개통하는 등 문제를 막고자 정부는 알뜰폰 사업자에 정보보호 관리체계(ISMS) 인증을 의무화하는 방안을 추진한다.

과학기술정보통신부는 27일 정부세종청사에서 정례 브리핑을 열고 이러한 내용을 발표했다.

알뜰폰은 기존 이통사 요금제보다 30% 저렴한 등 장점도 있지만 상당수가 대포폰으로 악용된다는 문제가 있었다. 경찰청에 따르면 2021년 8~10월 적발된 대포폰 총 2만여 건 중 알뜰폰은 1만 4530건으로 약 70% 비중을 차지한다.

개인정보만 있으면 누구나 온라인상에서 비대면으로 개통 가능하다는 점이 문제였다. 개인정보를 탈취·확보한 범죄 조직단 등이 대포폰을 개통해 금융 범죄 등을 저지를 수 있던 이유다.

이에 과기정통부는 3월부터 관련 부서, 전문기관 등과 전담반(TF)을 꾸려 알뜰폰 사업자의 본인확인 절차 시스템 등을 점검했다. 그 결과 일부 업체서 암호 알고리즘 업데이트 미비, 서버 계정 관리 부실 등 문제가 확인됐다.

보안이 허술할 경우 범죄단 등은 웹페이지를 로드하는 과정서 요청되는 변수(파라미터)를 조작해 접근권한이 없는 정보라도 조회·변경할 수 있다. 비대면 본인확인 우회가 가능했던 이유다.

이에 전담반은 모든 알뜰폰 사업자가 의무적으로 ISMS를 인증하도록 제도 개선을 추진한다. 그간 일정 매출액, 사용자 규모 등 기준에 따라 일부 사업자에만 제도가 적용됐다. 현재 80여 개 알뜰폰 사업자 중 22개만이 해당 인증을 받고 있었다.

또 사업자는 앞으로 정보보호 최고책임자(CISO)를 의무적으로 지정 후 과기정통부 등 당국에 신고해야 한다.

앞으로 이러한 의무를 준수하지 않을 시엔 과태료 등 처벌이 따를 수 있다.

다만 인증 의무화에 따른 비용 증가, 절차상 복잡함이 자칫 알뜰폰 사업 전체를 위축시킬 수 있다는 우려도 나왔다. 알뜰폰은 가계 통신비 부담을 완화하는 순기능도 있다.

이에 과기정통부 정보보호기획과 관계자는 "정보 보안은 정보통신서비스 기업이라면 당연히 살펴야 하는 기초적 의무"라며 "소비자 등 국민 피해를 방지하려면 업체가 보안 강화 등 부담해야 할 부분이 있다"고 설명했다.

이어 "업체 부담을 경감하고자 소기업의 경우 간편인증을 적용받을 수 있도록 제도 개선을 추진 중"이라며 "관련 교육도 실시해 제도 진입에 따른 부담을 최소화하겠다"고 덧붙였다.

한편 과기정통부는 이동통신사와 협력해 본인확인 절차를 이통사 시스템에서 한 번 더 거치게 하는 등 조치를 취했다. 또 알뜰폰 사업자에겐 클라이언트 단이 아닌 알뜰폰 업체·본인인증 기관 서버 단에서 개인정보 비교·검증이 이뤄지게끔 개선을 권고했다.
연관 키워드
로딩 아이콘