SK텔레콤 유심 해킹과 KT 무단 소액결제 사태가 여론의 큰 비판을 산 데는 이동통신사들의 늑장 대응 탓도 컸다. 피해 사실이 공론화되기 전 유출 사실을 알았음에도 우선 덮으려 한 것 아니냐는 의심이 나오는 이유다. 통신사들의 이런 미온적 대응에 대한 규제를 강화하는 법안이 잇따라 발의되고 있다. 업계는 자초한 측면이 있다고 인정하면서도 처벌 강화 등 사후 규제로는 해킹을 막기 어렵다는 반응을 보이고 있다.
17일 국회 과학기술정보방송통신위원회 소속 더불어민주당 황정아 의원실이 KT로부터 제출받은 자료에 따르면 무단 소액결제 피해는 지난달 5일부터 발생했다. KT는 이달 1일 경찰로부터 소액결제 피해 분석을 요청받았으나 일반적인 스미싱 가능성이 크다고 판단해 즉각 대응하지 않았다. 이후 지난 4일 특정 지역에서 피해가 집중되고 언론 보도가 시작되자 사안을 재분석했고, 5일 새벽에서야 비정상 결제를 차단했다. KT가 사전에 이상 신호를 제대로 감지하지 못했거나 묵살하면서 한 달 동안 발생한 피해를 막지 못했다는 지적이 나온다.
이런 식의 대응을 막기 위해 관련 법안들은 사후 규제 및 처벌 강화에 초점이 맞춰졌다. 민주당 한민수 의원은 해킹 등 침해 사고가 발생했을 때 24시간 이내 신고하도록 한 규정을 시행령이 아닌 법률로 상향하는 내용의 정보통신망법 개정안을 발의했다. 위반 시 5년 이하의 징역 또는 5000만원 이하의 벌금에 처하는 법률을 적용해 신고의무 위반에 대한 사업자 책임을 명확히 하겠다는 것이다. 같은 당 이훈기 의원은 해킹 등으로 인한 개인정보 유출 사고에 회사 매출액의 10%까지 과징금을 부과할 수 있도록 하는 개인정보 보호법 개정안을 발의했다. 현행법은 과징금 한도를 매출액의 3% 이하로 하는데, 개인정보 유출 사고의 경우 과징금을 몇 배로 더 높이겠다는 것이다.
정보 유출 시 유심 교체와 위약금 면제를 의무화하고, 가입 전환을 대행하도록 의무를 규정하는 법안도 발의된 상태다. 현재는 이통사가 자발적으로 유심 교체나 위약금 면제를 하고 있지만 법률로써 이를 강제해야 한다는 취지다.
다만 규제·처벌에 방점을 찍은 법안이 해킹을 원천적으로 차단할 수 없는 데다가 나아가 산업 발전을 저해할 수 있다는 우려도 나온다. 국회 과방위 관계자는 “사후 규제로 해킹을 막을 수 있는 게 아닌데 현재 발의된 법안들은 지나치게 규제에 초점이 맞춰진 측면이 있다”며 “근본적으로 해킹을 막기 어려운 만큼 기업들의 소극적 대응을 전환할 만한 방법을 논의해야 할 것”이라고 말했다.
과기정통부는 개정안 검토보고서에서 해킹 피해 기업이 가입 전환 대행이나 비용(위약금)을 의무적으로 부담해야 한다면 통신 사업에 대한 투자를 저해할 수 있다는 우려를 밝히기도 했다. 과기정통부는 “사업자의 고의·과실 여부에 상관없이 사업자에게 침해 사고의 부담을 일방적으로 부여할 경우 통신 산업의 리스크가 증가할 것”이라는 의견을 냈다.
심희정 기자 simcity@kmib.co.kr