고정 헤더 영역
상세 컨텐츠
본문
1. 서론: 알뜰폰의 성장과 보안 이슈
알뜰폰 시장은 기존 이동통신사 대비 약 30% 저렴한 요금제와 비대면 가입의 편리함 덕분에 빠르게 성장하고 있습니다. 그러나 이러한 편리함 이면에는 타인의 정보로 제3자가 인증을 받고, 타인 명의의 스마트폰을 개통하여 보이스피싱 등의 범죄에 악용하는 사례가 늘고 있어 보안 문제에 대한 우려가 커지고 있습니다.
알뜰폰 시장 규모
- 2018년부터 2023년까지 알뜰폰 가입자 수는 꾸준히 증가하여, 2024년에는 1,500만 명에 이를 것으로 예상됩니다.
- 알뜰폰의 시장 점유율은 매년 상승하며, 2024년에는 16%에 도달할 것으로 예상됩니다.
| 연도 | 알뜰폰 가입자 수 (명) | 시장 점유율 (%) | 주요 이슈 및 성장 요인 |
| 2018년 | 800만 | 10% | 저렴한 요금제로 소비자 관심 증가 |
| 2019년 | 900만 | 11% | 5G 서비스 도입에 따른 알뜰폰 경쟁력 강화 |
| 2020년 | 1,000만 | 12% | 코로나19로 비대면 수요 증가 및 자급제폰 활성화 |
| 2021년 | 1,200만 | 13% | 중고폰 연계 서비스 강화 및 다양한 요금제 출시 |
| 2022년 | 1,300만 | 14% | 중고폰 거래 활성화에 따른 추가 가입자 유입 |
| 2023년 | 1,400만 | 15% | 개인정보 보호 및 보험 서비스 강화로 시장 신뢰도 상승 |
| 2024년 (예상) | 1,500만 | 16% | 중고폰 안심거래 사업자 인증제도 도입에 따른 시장 활성화 |
알뜰폰 보안 피해 사례
| 이슈 사례 | 발생 연도 | 내용 및 원인 | 영향 및 결과 | 대응 조치 |
| 불법 스미싱 공격 | 2021 | 알뜰폰 사용자 대상으로 스미싱 공격이 증가 | 개인정보 유출 및 금전적 피해 발생 | 알뜰폰 사용자 대상 보안 교육 강화 및 스미싱 필터링 시스템 도입 |
| 번호 이동 시 인증 문제 | 2020 | 번호 이동 과정에서 사용자 인증 절차 미흡으로 인한 계정 탈취 | 금융 계정 및 SNS 계정 탈취 사례 발생 | 번호 이동 절차 보안 강화 및 다중 인증 도입 |
| 보안 패치 지연 | 2019 | 특정 알뜰폰 기기에서 OS 보안 패치가 지연됨 | 취약점 노출로 인한 해킹 위험 | 통신사와 협력하여 신속한 보안 패치 제공 |
| 공인인증서 유출 사고 |
2018 | 알뜰폰 서비스 이용 중 공인인증서 유출 사례 발생 | 금융 거래 보안 위협, 금전적 손실 발생 | 공인인증서 보안 강화 및 사용자 인증 절차 개선 |
| 약관 미비에 따른 사생활 침해 |
2022 | 알뜰폰 약관에 불분명한 조항으로 인해 사용자 위치 정보가 유출 | 사생활 침해로 인한 사용자 불만 증가 | 약관 수정 및 사용자 데이터 보호 강화 |
| 가짜 기지국 공격 | 2023 | 알뜰폰 사용자를 대상으로 한 가짜 기지국을 통한 통신 감청 시도 | 통신 내용 도청 및 개인정보 유출 위험 | 가짜 기지국 탐지 및 차단 기술 도입 |
2. 정부의 대응: 금융권 수준의 보안 강화
이러한 문제를 해결하기 위해 과학기술정보통신부는 알뜰폰 업계의 보안 수준을 금융권 수준으로 강화하기 위한 대책을 마련했습니다. 이에 따라 모든 알뜰폰 사업자는 ISMS(정보보호 관리체계) 인증을 받고, **CISO(정보보호최고책임자)**를 지정 및 신고하도록 의무화할 계획입니다. 이를 통해 알뜰폰 사업자들이 자발적으로 보안 수준을 높이고, 더 나아가 신뢰할 수 있는 통신 환경을 제공할 수 있도록 제도를 개선하고 있습니다.
**CISO(정보보호최고책임자)**는 조직 내에서 정보보호 전략을 수립하고 실행하는 최고 책임자입니다. CISO는 정보보호 정책을 개발하고, 보안 위협을 관리하며, 조직의 전반적인 정보보호 상태를 모니터링하고 개선하는 역할을 합니다. 또한, CISO는 이사회 및 경영진에게 정보보호 관련 보고를 하며, 조직의 보안 문화 정착을 위한 교육 및 훈련을 주도합니다. CISO는 기업의 정보보호 체계가 적절히 운영되도록 이끄는 중요한 리더십 역할을 담당합니다.
3. 중소 알뜰폰 사업자의 우려와 정부 지원
그러나 중소 알뜰폰 사업자들은 ISMS 인증 및 CISO 지정이 추가적인 비용 부담을 초래할 수 있다는 우려를 표하고 있습니다. 현재 약 80여 개의 알뜰폰 업체 중 22개만이 ISMS 인증을 보유하고 있으며, 나머지 업체들은 새로 인증을 받아야 하는 상황입니다. 이를 고려해 정부는 연매출 50억 원 미만의 소기업을 위해 ISMS 간편 인증을 도입하여 비용 부담을 최소화할 방안을 마련하고 있으며, ISMS 인증의 유효기간을 3년에서 5년으로 연장하는 방안도 검토 중입니다.
KISA 정보보호 및 개인정보보호관리체계 인증 ISMS-P 자료실
isms.kisa.or.kr
MVNO(알뜰폰)_ISMS_인증제도_설명회_자료_202040729_공지.pdf
3.23MB
4. ISMS와 ISMS-P 인증의 차이점
이번 보안 대책에서 주목받고 있는 ISMS 인증은 기업이 일정 수준 이상의 정보보호 체계를 구축했음을 인증하는 제도입니다. 2019년부터 ISMS와 PIMS(개인정보보호 관리체계)가 통합되어 ISMS-P(정보보호 및 개인정보보호 관리체계) 인증이 시행되었습니다. ISMS-P 인증은 기존의 ISMS와 더불어 개인정보보호 관리체계 인증이 포함된 것으로, 기업은 업무 성격에 따라 ISMS 또는 ISMS-P 인증을 선택하여 심사를 받을 수 있습니다. 비록 ISMS-P 인증이 의무는 아니지만, 개인정보를 다루는 기업이라면 이 인증을 통해 보안 신뢰도를 높이는 것이 좋습니다.
- ISMP는 조직 전체의 정보보호를 관리하는 프로그램으로, 정보자산의 기밀성, 무결성, 가용성을 보장하기 위한 광범위한 보안 관리체계를 다룹니다.
- ISMP-P는 특히 개인정보보호에 초점을 맞춘 프로그램으로, 개인정보의 수집, 이용, 보호와 관련된 세부적인 관리체계를 다룹니다.
| 구분 | ISMP (Information Security Management Program) |
ISMP-P (Information Security Management Program - Personal) |
| 주요 목적 | 조직 전체의 정보보호 관리체계 수립 및 운영 | 개인정보보호 관리체계 수립 및 운영 |
| 대상 | 조직의 모든 정보자산과 정보보호 활동 | 개인정보와 관련된 정보자산 및 보호 활동 |
| 적용 범위 | 전사적 정보보호 정책, 절차, 기술적 관리 | 개인정보 처리방침, 개인정보 수집/이용/보호 절차 |
| 관리 항목 | 네트워크 보안, 시스템 보안, 물리적 보안 등 | 개인정보 수집, 저장, 처리, 파기 절차 및 관련 기술적 보호 |
| 법적 요구사항 | 정보보호 관련 법률 및 규제 준수 | 개인정보보호법 및 관련 규제 준수 |
| 주요 책임자 | CISO, IT 관리자 | 개인정보보호책임자(CPO), 개인정보 관리 담당자 |
| 적용 사례 | 기업의 전반적인 정보보호 관리체계 운영 | 고객 데이터, 직원 정보 등 개인정보 보호 중심의 관리체계 운영 |
| 평가 기준 | 국제 정보보호 관리체계 표준(ISMS) 등 | 개인정보보호 관리체계 인증(PIMS, GDPR 등) |
5. ISMS, ISMS-P 인증을 위한 지원 솔루션 유형 및 기업
ISMS와 ISMS-P 인증을 위해서는 지속적이고 종합적인 정보보호 관리 수준을 유지해야 합니다.
| 솔루션 유형 | 주요 기능 및 역할 | 대표 솔루션 예시 | 대표 기업 |
| 웹보안 (Web Security) |
웹 애플리케이션 보호, 웹 방화벽(WAF), DDoS 방어, 웹 취약점 방어 | Imperva WAF, Cloudflare, WebKnight, WAPPLES(와플) 및 Cloudbric WAF+ | Imperva, Cloudflare, 파이오링크, 펜타시큐리티 |
| 데이터암호화 (Data Encryption) |
데이터의 기밀성 보장, 데이터 암호화 및 접근 통제 | SECUVE TOS, Vormetric Data Security, D’Amo(디아모) | SECUVE, Thales, 파수, 펜타시큐리티 |
| 통합인증보안 플랫폼 (IAM, SSO) |
통합 인증 관리, SSO(Single Sign-On), 접근 제어, 사용자 인증 | IBM Security Verify, Okta, Naver Cloud IAM, iSIGN+(아이사인플러스) | IBM, Okta, Naver Cloud, 펜타시큐리티 |
6. 결론: 알뜰폰 보안 강화의 필요성과 미래
알뜰폰 시장의 성장은 소비자들에게 더 많은 선택의 폭을 제공하지만, 동시에 보안 문제에 대한 대응이 필요합니다. 정부와 기업이 협력하여 ISMS 및 ISMS-P 인증을 통해 보안 수준을 강화한다면, 보다 안전하고 신뢰할 수 있는 통신 환경이 마련될 것입니다. 펜타시큐리티의 다양한 보안 솔루션은 이러한 인증 과정을 지원하며, 기업들이 보안 위협에 효율적으로 대응할 수 있도록 돕습니다.
