KT 대표를 비롯한 임직원들이 지난달 11일 서울 종로구 KT 광화문빌딩 웨스트 사옥에서 최근 발생한 소액결제 피해와 관련해 고개 숙여 사과하고 있다. 류영주 기자| ▶ 글 싣는 순서 |
①'손바닥 기지국'의 공포…KT, 수차례 '경고' 무시했다
②정부망 뚫렸을 땐 쉬쉬하더니…기업에만 '이중처벌'
③해킹 발전하는데 정부는 '밥그릇 싸움'…중심이 없다
④'보안' 외양간만 고친다…"자진신고 활성화해야"
|
최근 이동통신사와 카드사 등에서 줄줄이 해킹 피해가 이어지지만, 정작 기업들은 자진신고에 소극적인 태도를 보이며 질타받았다.
이에 정부는 징벌적 과징금과 직권 조사 강화라는 '몽둥이'를 들었다. 그러나 일각에서는 정부의 압박만으로는 최근 빈발한 해킹 공격에 긴밀하게 대응하기 어렵다는 지적이 나온다.
전문가들은 해킹 피해 기업에 '은폐보다 자진신고가 유리하다'라는 인식을 심어주기 위해 면책 인센티브 정책을 도입해야 한다고 주장한다.
해킹 피해 입어도 '쉬쉬'…KT·롯데카드 모두 '늑장신고'
최근 해킹 피해를 본 기업들이 '늑장 신고'로 일관하며 초기 대응에 실패했다는 지적이 제기된다.
해킹으로 인한 무단 소액결제 사태가 발생한 KT의 경우 자사 서버가 침해당한 사실을 인지하고도 3일이 지나서야 한국인터넷진흥원(KISA)에 관련 사실을 신고했다. KT는 해킹 의혹을 받던 서버를 당국의 현장 조사 전 자체 폐기한 사실도 뒤늦게 드러나 증거인멸 의혹까지 불거지기도 했다.
롯데카드도 해킹 사실을 인지한 뒤 6일이나 지난 뒤 당국에 자진신고한 것으로 나타났다. 초기에 발표한 유출 피해 규모도 1.7GB에서 100배나 불어난 200GB로 나타났다. 당초 부인했던 고객 정보 유출도 있었던 것으로 파악돼 초기 대응에 실패했다는 비판이 일었다.
지난달 24일 서울 여의도 국회 과학기술정보방송통신위원회에서 열린 대규모 해킹사고(통신·금융) 관련 청문회에 출석한 조좌진 롯데카드 대표이사가 고개숙여 인사를 하고 있다. 윤창원 기자이처럼 기업들은 해킹 피해를 보고서도 당국에 뒤늦게 신고하거나 아예 알리지 않고 있다. 조국혁신당 이해민 의원이 KISA로부터 제출받은 자료에 따르면, 지난 1년간 해킹 사고 발생 후 24시간이 지나서야 당국에 신고했거나 아예 신고하지 않은 사례가 총 66건이나 되는 것으로 나타났다.
현행 정보통신망법은 기업이 해킹 사실을 인지 후 24시간 내 신고하지 않을 경우 과태료 처분을 받을 수 있다고 규정하고 있다.
그러나 조항을 위반해도 3천만원 이하의 과태료만 부과돼 실효성이 낮다는 지적이 많다. 과태료보다 해킹 피해를 알리면서 얻는 피해가 크다고 판단할 경우 은폐하는 경향이 있기 때문이다. 또한 법이 24시간 기준을 기업의 '인지' 시점 이후로 규정하면서, 명확한 사실관계를 따지기 어려운 문제도 제기된다.
정부 '몽둥이' 들었지만…전문가 "제재만으로는 대응 한계 있어"
연합뉴스
이에 정부는 제재를 강화해 대응하겠다는 방침이다.
과학기술정보통신부와 금융위원회에 따르면, 정부는 해킹 피해 예방을 위해 △징벌적 과징금 △신고 의무 위반 시 과태료 강화 △정부 조사 권한 확대를 검토 중이다. 해킹 은폐 시 실제 피해 규모보다 많은 과징금을 부과하고, 지연 신고 시 과태료 상한선을 3천만원에서 높이겠다는 내용이다. 또 기업이 먼저 신고하지 않는 이상 정부가 포렌식 등 현장 조사에 나설 수 없다는 구조적 문제도 개선할 계획이다.
이와 관련해 통신 업계에서도 해킹 사실을 고의로 은폐·축소하려는 기업을 엄단하는 것은 필요하다는 입장이다. 그러나 강경한 제재 일변도로는 기업이 적극적으로 자진신고에 나서기는 쉽지 않다는 분위기다. 한 통신 업계 관계자는 통화에서
"최근 풍토는 해킹 피해를 본 기업이 신고하면 정부와 여론이 해당 기업을 아예 죽이려는 분위기"라며 "아무리 과징금과 과태료가 무거워지더라도 기업 입장에서는 자진신고를 주저할 수밖에 없다"고 토로했다.
이형택 한국랜섬웨어침해대응센터장도 통화에서 "해커와의 협상비가 30억이고 정부가 부과하는 과징금이 수백억이라면 기업은 협상비를 내고 신고를 안 하는 선택을 할 것"이라며 "기업 입장에서 과징금보다 더 무서운 건 신뢰 상실과 거래 단절"이라고 지적했다.
정부의 직권조사 권한 강화와 관련해서도 결국 중과 부적이라는 지적도 제기된다. KISA에 따르면, 국내 민간 분야 침해사고 신고 건수는 2021년 640건에서 지난해 1887건으로 약 3배 치솟았다. 서버해킹 신고는 4년간 약 6.4배, 디도스 공격은 같은 기간 2.3배 늘었다. 정부가 증가하는 보안 침해 사고를 모두 살펴보기에는 한계가 있기 때문에, 결국 효과적인 해킹 대응을 위해서는 기업의 자진신고 활성화가 필요하다는 주장이다.
'자발적 서약' 제도 주목…개선책 마련하면 처벌 감경해줘
지난달 24일 서울 여의도 국회 과학기술정보방송통신위원회에서 열린 대규모 해킹사고(통신·금융) 관련 청문회에 출석한 (왼쪽부터)조좌진 롯데카드 대표이사, 김영섭 KT대표이사. 윤창원 기자
전문가들은 유연한 규제로 기업의 자발적인 신고를 끌어내는 해외 사례를 참고해야 한다고 주문한다.
'자발적 서약' 제도를 도입한 싱가포르의 경우 해킹 피해 기업이 자진신고 후 개선 계획을 제출하면 과징금 없이 사건을 종결하고 있다. KISA 원장 출신의 국민대학교 이원태 특임교수는 통화에서 "2021년 싱가포르에 데이터 침해사고 통지 의무와 새로운 집행 체계가 도입된 이후 기업들의 자발적 신고 건수가 크게 늘어났다"며 "자발적 서약 제도가 기업으로 하여금 신속히 당국에 알리고 개선책을 마련하도록 유도하는 효과가 상당하다"고 평가했다. 당국의 피해 조사와 행정 제재에 소모되는 시간을 줄이고, 그 대신 기업이 보안 취약점을 개선하도록 하는 점도 긍정적이다.
다만 이 경우 엄격한 책무 이행이 담보되지 않을 경우, 해킹 피해의 책임 규명도 불분명해질 수 있다는 단점도 있다. 이와 관련해 이 교수는
"개선 계획을 반복적으로 위반하거나 책임을 부인하는 기업에 대해서는 아예 서약을 받아들이지 않는 등의 보완책이 필요하다"며 "만약 기업이 약속한 개선 조치를 제대로 이행하지 않으면 당국이 조사에 나서거나 과태료 부과 등에 나설 수도 있다"고 제언했다.
싱가포르와 유사하게 영국도 보안 침해 사고를 신속 보고하고, 후속조치를 성실히 이행할 경우 과징금을 최대 90%까지 감경할 수 있도록 하고 있다. 실제로 2018년 영국항공은 43만명의 고객정보 유출로 3446억원의 과징금 부과를 예고 받았지만, 신속한 신고와 적절한 조치로 약 90% 감액된 375억원의 과징금만 내기도 했다. 미국도 '사이버 사고 신고법(CIRCIA)'을 통해 72시간 내 침해 사실을 보고한 기업에 일정 수준의 법적 책임을 면제해 주고 있다.
이와 별도로 기업이 자체적으로 보안을 강화할 수 있도록 지원해야 한다는 목소리도 나온다. 현재 국회에는 조국혁신당 이해민 의원이 관련해 발의한 정보통신망법 일부 개정안과 조세특례제한법 일부 개정안이 잠자고 있다. 해당 법은 민간 정보보호 투자를 유도하고 기업의 보안 역량을 체계적으로 점검·개선하기 위한 법안으로, 기업이 정보보호 시스템 설비에 투자하거나 보안 인력을 채용할 경우 소득세·법인세를 감면해 주는 내용을 담고 있다.
이 교수는 "정부의 세액공제 지원은 매우 시의적절한 당근책이 될 수 있다"며 "특히 자금과 인력이 부족한 중소·중견 기업의 자발적 보안 강화를 끌어낼 수 있기 때문에 자진신고 인센티브 제도와 함께 종합적으로 도입하는 것이 바람직하다"고 평가했다.