정부가 알뜰폰의 보안 허점을 악용한 불법 대포폰에 칼을 빼 들었다. 가입 과정에서 SK텔레콤, KT, LG유플러스 등 이동통신 3사의 시스템을 연계해 신원을 한 번 더 확인하게 하고, 보안도 금융권 수준으로 강화한다.
과학기술정보통신부는 '알뜰폰 비대면 부정가입 방지 종합대책'을 27일 발표했다. 비대면으로 가입할 수 있는 알뜰폰의 허점을 악용해 도용한 명의로 휴대전화를 개통하는 피해 사례가 잇따른 데 따른 대책이다.
알뜰폰은 특정 이통사의 네트워크를 도매가로 빌려 자사 가입자에게 기존 대비 30% 이상 저렴한 가격으로 서비스를 제공한다. 뿐만 아니라 개인정보만 있으면 누구나 온라인으로 셀프 개통이 가능하다.
이런 장점은 취약점으로 악용돼 왔다. 타인의 개인정보를 탈취·확보한 범죄 조직단 등이 도용한 명의로 대포폰을 개통해 보이스피싱 등 금융 범죄 등을 저질러 왔던 것. 앞서 올해 3월부터 대책 마련에 나선 과기정통부는 관련 부서와 전문기관이 참여한 전담 태스크포스(TF)를 꾸려 보안 시스템을 점검했다.
김연진 과기정통부 정보보호기획과장은 이날 정부세종청사에서 "서비스 측면에서 암호 알고리즘을 계속 업데이트해야 하는데 하지 않은 곳들이 있었고, 인프라 측면에서도 서버 개선 관리가 미흡했다"며 "취약점 발견 업체에 대해서는 시정명령을 했고, 이를 통해 본인확인 우회 취약점으로 인한 부정 개통이 발생하지 않은 것을 확인했다"고 설명했다.
과기정통부는 우선 본인확인 강화를 위해 이통 3사 시스템과 알뜰폰 간 시스템을 연계토록 했다. 이통사 시스템에서 신원을 한 번 더 확인하는 과정을 거쳐, 타인 명의로 부정 개통이 일어날 가능성을 차단하겠다는 취지다.
이에 앞으로 알뜰폰 사업자는 비대면 개통 과정에서 이통사에 개통을 요청해야 한다. 김 과장은 "이통사가 최종적으로 개통 전에 직접 본인 확인임을 비교 검증하는 그런 검증 과정을 한 단계 더 거치도록 저희가 시스템을 연동해서 구현했다"고 말했다.
아울러 모든 알뜰폰 사업자가 정보보호관리체계(ISMS) 인증을 받고 정보보호최고책임자(CISO)를 지정·신고하도록 할 방침이다.
ISMS는 기업의 보안수준 향상, 사고예방 등을 위해 일정수준 이상의 보안을 갖춘 기업에만 인증을 해주는 제도다. 현재는 알뜰폰 사업자 22곳만 인증을 받고 있는데, 앞으로는 80곳 모두 인증이 있어야 한다. 다만 매출액 50억원 미만 소기업은 간편 인증을 받도록 해 부담을 완화할 방침이다. 오는 7월 중 시행령을 개정하며, 인증을 거치지 않는 사업자에는 과태료를 부과한다.
김 과장은 "ISMS 인증이 알뜰폰 사업자들에게 부담이 될 수 있지만, 정보보안은 정보통신서비스 기업이라면 당연히 해야하는 기초적 의무"라며 "소비자 피해 방지를 위해 정보보호 보안 강화에 힘써야 한다"고 밝혔다.