이동통신사를 중심으로 해킹 사고와 늑장 신고가 잇따르자 정부가 신고 없이 현장 조사를 가능하게 하는 등 고강도 규제의 칼을 빼 들었다.
22일 과학기술정보통신부와 관계부처가 내놓은 ‘범부처 정보보호 종합대책’에는 이 같은 내용을 포함해 징벌적 과징금 도입 등 추가 제재 방안이 다수 포함됐다.
SK텔레콤, KT, 롯데카드, SK쉴더스 등 업종을 막론하고 해킹 사고가 발생하며 일단 즉시 실행할 수 있는 단기 과제 위주의 처방전을 내놓은 셈이다.
되풀이되는 지연 신고에 대한 선제 대응 차원이지만, 업계에서는 자칫 경찰권 남용으로 이어질 수 있다는 우려가 나왔다.
이번 종합대책에서는 해킹 정황을 확보한 경우 기업의 신고 없이 현장 조사할 수 있도록 정부의 조사 권한을 확대했다.
또 해킹 신고를 미루거나 재발 방지 대책을 이행하지 않는 등 보안 의무를 위반하면 과태료나 과징금을 상향하고 징벌적 과징금을 도입하는 강수를 뒀다.
이러한 제재 강화의 배경으로는 해킹 정황 발생 당시 기업들이 고의로 신고를 미뤄 초기 대응이 늦어졌다는 의혹이 제기된 점이 꼽힌다.
현행 정보통신망법은 침해 사고 발생 후 24시간 이내에 한국인터넷진흥원(KISA)에 사고를 보고하도록 하고 있다.
그러나 지난 4월 SK텔레콤 유심 정보 해킹 사태 당시에는 사고를 인지한 뒤 만 하루가 지난 시점 KISA에 침해 사실을 신고했다.
불법 기지국으로 인한 무단 소액결제가 발생한 KT 역시 이러한 ‘24시간 룰’을 어기고 약 3일이 지난 시점에 KISA에 서버 침해 흔적과 의심 정황을 보고했다.
통상 해킹 사고의 경우 발생 직후 24시간에서 48시간까지가 ‘골든타임’으로 이 기간에 서버 로그, 접근, 유출 경로 등을 파악해야 피해 확산을 예방하고 증거를 보존할 수 있다.
특히 KT의 경우 보고가 늦어지면서 피해 기지국과 결제 경로를 제때 파악하지 못했다는 지적이다.
정부가 해킹 정황을 신속하게 조사하는 게 피해와 악성코드 전파 예방을 위해 바람직하다는 게 업계 중론이다.
다만 업계 일각에서는 정부의 조사 권한 확대가 자칫 경찰권 남용으로 이어질 수 있다는 우려를 제기하고 있다.
한 IT업계 관계자는 “민간 영역을 정부가 자의적으로 조사하는 경우 경찰권의 남용이나 사찰이 발생할 수 있다”고 우려를 표했다.
이 관계자는 “신고 없이 조사할 수 있도록 권한을 확대한다면 경찰이나 정보기관은 1차 조사에서 배제하고 결과 공유만 할 필요가 있다”고 덧붙였다.
아울러 기업에서는 정부의 현장 조사 확대가 기업에 평판 리스크로 작용할 수 있다고 우려했다.
통신업계 관계자는 “조사 결과 해킹이 아니라고 밝혀질 경우 해당 기업 평판이 저해될 수 있어 조사 대상 기업명에 대한 보안 강화가 필요하다”고 제안했다.
이 밖에 기업이 자발적으로 해킹 정황을 신고할 수 있는 유인이 부족하다는 비판도 나온다.
다른 통신업계 관계자는 “현재 기업이 자발적으로 해킹 정황을 신고할 수 있는 유인이 부족하다”며 “기업도 해킹 피해를 입은 것인 만큼 과징금이나 조사 절차에 있어 신고를 빨리하도록 유도할 수 있는 정책을 마련해야 한다”고 강조했다.
이번 종합대책에 포함된 정보보호공시 의무 기업 확대 방안이 해킹 사고를 예방할 수 있는 묘안이 될 수 있을지에도 업계의 관심이 쏠리고 있다.
올해 기준 의무 대상 기업 666곳 가운데 23.7%인 158개 기업에서 정보보호 인력이 전무한 것으로 집계되는 등 자율 공시로 보안 역량을 강화하겠다는 제도 취지가 유명무실화된 상황이기 때문이다.
과기정통부 관계자는 “보안에 대한 인식을 더 이상 비용이 아닌 기업의 성패를 가르는 투자로 전환할 수 있도록 정보보호 공시 의무 시업을 상장사 전체로 확대하고 보안 역량 수준을 등급화해 공개하도록 하겠다”고 설명했다.
구정하 기자 goo@kmib.co.kr