지이코노미 강매화 기자 | 정부가 SK텔레콤·KT·LG유플러스 등 통신 3사의 보안 취약점을 보완하기 위해 운영 중인 통신망을 대상으로 한 ‘실전 침투 테스트’를 새로 도입한다. 불법 펨토셀(소형 기지국) 논란에 대해서는 물리적 수거 대신 화이트리스트 방식으로 망 접속을 원천 차단하기로 했다.

과학기술정보통신부는 22일 정부서울청사에서 ‘범부처 정보보호 종합대책’을 발표하고 통신 3사에 대해 외부 전문가가 참여하는 불시 보안 점검을 실시한다고 밝혔다. 류제명 과기정통부 2차관은 “기존 모의해킹은 사전에 일정과 범위를 정해 점검하는 방식이었지만, 실전 침투 테스트는 실제 해킹 상황을 가정한 불시 점검으로 취약점을 전면적으로 분석할 것”이라고 설명했다. 이번 조치는 최근 통신사 보안 불신 여론이 확산된 데 따른 대응으로 풀이된다.

정부는 통신 3사 외에도 주요 기간산업 기업에 대해 자체 보안 점검 결과를 최고경영자(CEO)가 직접 확인하도록 했다. 류 차관은 “각 기업의 정보보호최고책임자(CISO)에게 점검을 요청했고, 결과는 CEO 확인 후 정부에 제출해야 한다”며 “정부는 중요 기업부터 사후 점검을 진행할 예정”이라고 밝혔다.

불법 펨토셀 유통 문제에 대해서는 화이트리스트 방식의 접속 차단 정책을 도입한다. 류 차관은 “펨토셀 현황은 파악했지만 시중에 이미 유통된 장비의 물리적 회수는 현실적으로 어렵다”며 “화이트리스트 인증을 거친 장비만 통신망에 접속할 수 있도록 전환하고 검증되지 않은 기기의 접속은 차단하겠다”고 말했다. 통신 3사는 등록되지 않은 펨토셀이 망에 연결되지 못하도록 하는 차단 체계를 이미 구축 중이며, 정부는 인증 유효성 점검을 강화하고 안정성이 확인되지 않은 장비는 즉시 폐기하도록 할 방침이다.