배경훈 부총리 겸 과학기술정보통신부 장관이 22일 서울 종로구 정부서울청사에서 열린 합동브리핑에서 범부처 정보보호 종합대책을 발표하고 있다. 연합뉴스최근 해킹 피해가 빈발하자 정부가 징벌적 과징금 도입과 현장 조사 권한 강화 등 내용의 강력한 제재 방안을 내놨다. 보안 의식을 강화하기 위해 우선 단기 대책을 내놓았다는 게 정부 입장인데, 일각에서는 결국 해킹 책임을 기업에 떠넘기려는 게 아니냐는 우려가 나온다.
업계에서는 실질적으로 해킹 피해를 최소화하기 위해 기업의 신속한 자진신고를 유인할 수 있는 인센티브가 제공돼야 한다는 목소리가 나온다.
정부, 신고 없이도 기업 직권조사…과징금도 올리기로
연합뉴스
24일 정부에 따르면, 과학기술정보통신부는 22일 금융위원회, 개인정보보호위원회, 국가정보원, 행정안전부와 함께 브리핑을 통해 범부처 정보보호 종합대책을 발표했다. 대책의 주요 내용은 기업을 대상으로 한 강력한 제재가 골자다.
우선 정부는 국민 생활과 밀접한 1600여개 IT 시스템을 대상으로 대대적인 취약점 점검을 수행하고, 최근 줄줄이 해킹 피해를 본 이동통신사는 불시로 해킹을 시도하며 수시 점검한다.
특히 이번 대책에는 정부가 해킹 정황을 확보한 경우 기업의 신고 없이도 직권으로 현장 조사를 할 수 있도록 정부 권한을 대폭 확대했다. 앞서 KT 무단 소액결제와 LG유플러스 사내 정보 유출 당시 '늑장대응'했다는 지적이 나오자 나온 후속 조치로 보인다. 이와 함께 보안 의무를 위반한 경우 내려지는 과태료·과징금 한도도 기존 매출액의 3%에서 10%까지 올리는 방안도 검토 중이다.
정보보호 공시 의무 대상도 확대됐다. 기존에는 일부 기업만 의무로 정보보호 공시해야 했지만, 이제는 2700여개 상장사가 모두 공시를 해야 한다. 이밖에도 중대한 보안 문제가 발생할 경우 법적으로 CEO를 해임할 수 있도록 하는 장치를 마련한다.
제재 대책에 업계 "신고 피하려 할 듯"…정부 제재 형평성 지적도
배경훈 부총리 겸 과학기술정보통신부 장관이 22일 서울 종로구 정부서울청사에서 범부처 정보보호 종합대책을 발표하기 위해 브리핑실로 이동하고 있다. 연합뉴스그러나 일각에서는 기업 대상 대책이 지나치게 제재에 치우친 게 아니냐는 지적이 제기된다. 해킹 피해를 최소화하기 위해서는 신속한 대응이 생명인데, '기업 때리기'에만 치중할 경우 오히려 해킹 사실을 숨기려 할 수 있다는 지적이다.
한 IT업계 관계자는 "해킹당한 기업을 제재 대상으로만 보고 죽이다시피 하는데 어떻게 그 위험을 감수하고 자진신고를 하려고 하겠나"라며 "일부 기업은 정부의 제재 위험을 감수하고 은폐하거나 해커와 딜을 통해 해결하려고 할 수 있다"고 목소리를 높였다.
정부는 이같은 제재가 기업의 정보보호 분야 투자를 제고하기 위해서라는 입장이지만, 대기업을 제외한 많은 기업은 보안 투자 여력이 많지 않다는 목소리도 나온다. 다른 IT업계 관계자도 "보안 투자는 당장 눈에 보이지 않기 때문에 당장 비용이 빠듯한 기업은 보안 담당자를 두는 것도 쉽지 않을 수 있다"며 "중소기업을 대상으로 한 지원책도 필요하다"고 강조했다.
정부는 이번 대책이 최근 속출하는 해킹 피해를 막기 위한 단기 정책이라며, 연내 인센티브 정책을 보완하겠다는 입장이다. 과기정통부 류제명 2차관은 브리핑에서 관련 질의에 "기존 제도를 보완하고 협의를 해서 자발적 신고에 대해서는 과징금을 감경해 주는 방안을 검토하겠다"고 말했다.
일각에서는 기업의 자발적인 신고를 끌어내기 위해서는 싱가포르의 '자발적 서약' 제도를 참고해야 한다고 제언한다. 싱가포르는 해킹 피해 기업이 자진신고 후 개선 계획을 제출하면 과징금 없이 사건을 종결하고 있다. 당국이 제재에 소모하는 시간을 줄이고, 대신 기업이 보안 취약점을 개선하도록 하는 조치다.
KISA 원장 출신의 국민대학교 이원태 특임교수는 통화에서 "해킹 피해와 관련해 개선 계획을 반복적으로 위반하거나 책임을 부인하는 기업에 대해서는 아예 서약을 받아들이지 않는 등의 보완책도 필요하다"고 제언했다.
한편 정부 주요 부처도 최근 줄줄이 해킹 피해를 입었는데, 기업만 과하게 제재하는 게 아니냐는 볼멘소리도 나온다. 지난달 해외 보안 매체 '프랙'은 북한의 해킹 조직 '김수키'가 KT와 LG유플러스를 비롯해 국방부, 외교부, 국군방첩사령부, 대검찰청, 행정안전부, 통일부, 해양수산부 등 정부 부처를 지속적으로 해킹해 왔다고 공개한 바 있다.
이에 대해 배경훈 부총리는 "정부도 책임에서 자유로울 수 없다는 점을 인정한다"고 수긍했지만, 이번 대책에서 정부의 책임을 묻는 내용은 뚜렷하게 드러난 게 없다. 이와 관련해 한 통신사 관계자는 "기업이 보유한 고객 정보도 중요하지만 정부 부처의 경우 국가 안보와 관련된 주요 정보도 많다"며 "정부가 기업 제재에만 집중해 형평성이 어긋나는 것 같다"고 지적했다.