[独家]政府拟推行电信公司强制提交安全计划制度…防止SKT黑客事件重演

by Park Eugenie

by Jun Youngjoo

Published 25 Jun.2025 11:39(KST)

Updated 26 Jun.2025 13:55(KST)

open/close

科学技术信息通信部向国会报告《通信网保护法》
现行“自律检查”在事前预防上存在局限

将在法律中明确写入移动运营商专用通信网安全义务
审查方式由书面改为现场，并强制开展模拟演练

“关键产业需要高于一般水平的安全”
但业界担忧成“为监管而监管”的负担

据确认，政府在SK电信用户识别模块（USIM）被黑客入侵事件之后，正推进通过立法方式，强制主要通信运营商向政府提交安全计划。迄今为止，包括SKT、KT、LG Uplus在内的通信公司一直是自行制定并实施安全计划，今后则将转变为由政府直接接收并审查计划的体系。政府立场是，如不遵守将予以惩处。移动通信业界则持否定态度，认为这将沦为“为监管而监管”，预计在立法过程中将经历不少波折。

据《亚洲经济》25日通过议员Lee Haemin所属的祖国革新党议员办公室获取的资料显示，科学技术信息通信部已拟定方案，准备制定《通信网络信息保护法（暂称）》，或在《信息通信网络法》《电气通信事业法》中新增条款，单独规制主要通信运营商的通信网络安全，并于本月中旬向国会科学技术信息广播通信委员会进行了报告。

政府方针的核心，是在法律中明确写入针对移动通信运营商的专门安全义务，赋予其强制力。迄今为止，通信公司虽根据《信息通信网络法》（《促进信息通信网络利用及信息保护等相关法律》）和《电气通信事业法》开展安全管理，但并无法律义务向政府提交安全计划。现行《信息通信网络法》下的《信息保护措施指引》（科学技术信息通信部公告）允许通信公司自行制定安全措施并检查其执行情况，而《电气通信事业法》第32条第10款也仅规定：“基础电信业务经营者应为稳定提供服务，采取符合技术标准的技术性、管理性措施”，并未设定具体的安全计划制定及提交义务。

政府之所以决定在法律中明确规定这些通信公司的安全计划提交通报义务，是因为判断现有机制在事前预防方面存在局限。政府认为，以目前的自律检查结构，很难提前探测并阻止安全事故。发生黑客事件的SKT虽已获得政府授予的信息保护及个人信息保护管理体系（ISMS-P）认证，却仍未能阻止家庭用户登记服务器（HSS）被黑。根据ISMS-P认证标准，通信公司必须构建侵害事故预防体系，并具备漏洞扫描与分析、安全监控服务运营、重要数据定期备份等程序。然而，尽管SKT具备上述全部程序并取得认证，仍未能事前探测到HSS服务器被黑，也未能阻断黑客对核心系统的渗透。

国会立法调查处在上月发布的《为事前预防移动通信公司被黑客入侵而强化信息保护的方案》报告中指出，“认证标准所要求的程序在实际现场并未得到有效运行”。

企业自律监管也拉大了通信公司之间在安全投入上的差距。2023年，SKT与其子公司SK Broadband合计信息保护投资额为867亿韩元，仅相当于信息技术（IT）投资的4.2%。

为大幅强化通信运营商在通信网络方面的安全措施义务，政府在方案中纳入了编制并向政府提交安全管理计划书，以及定期强制实施模拟演练等内容。政府还计划要求实施针对通信网络基础设施的专门安全措施。同时，还将新建常态化检查系统，随时核查通信公司是否切实落实安全措施。对于未履行安全义务的通信公司，政府拟通过下达整改命令或征收履行罚款等方式予以惩处。据悉，在这方面政府参考了英国《通信法》中“在违反安全义务时可处以最高相当于营业额10%的罚金”的规定。

政府还将把现有以书面审核为主的信息保护认证审查方式，改为以现场技术审查为主，并新设通信公司专用检查项目，以提高实效性。拟新引入的通信公司专用检查项目包括：强制要求重要系统备份资料至少保存和管理1年以上，在访问对外公开用网页服务器时适用双重认证系统，以及为进行漏洞分析与评估而组建企业内部专门团队等。

政府计划在今年内完成法案起草并结束意见征求。为此，政府将在下半年组建由大学、研究所和业界专家组成的研究小组，经过意见征求程序后，最终决定立法方向。

但在通信业界，担忧此类举措可能沦为“为监管而监管”的声音也在出现。通信业界一名相关人士表示：“借近期SKT被黑事件为契机，把原本由企业自律的事项改为强制性义务，看上去是为了防止移动通信运营商缩减安全投资”，“如果在提交安全计划后，政府又额外要求大量资料，或对模拟演练结果提出问题，那么在这一过程中将需要投入大量人力，负担不小”。