최근 KT와 SK텔레콤 등 주요 통신사에서 해킹 피해가 연이어 발생하며 수백만 이용자의 개인정보가 위협받고 있지만 정작 피해를 최소화하기 위한 제도가 제대로 갖춰지지 않았다는 지적이 제기됐다. 기업이 자진해 신고하지 않는 한 정부가 적극적으로 조사에 나설 수 없다보니 '늑장 대응'이 반복될 수 밖에 없다는 지적이다.
기업들은 주가 하락과 평판 추락을 우려해 신고를 꺼리고 피해 사실을 뒤늦게 인정하거나 축소 발표하는 사례가 반복되면서 피해는 고스란히 소비자에게 전가되고 있다는 비판이 나온다. 전문가들 사이에선 해킹 피해를 최소화하기 위해선 조기 신고를 유도할 수 있는 인센티브와 정부 조사 권한 강화를 동시에 추진해야 한다고 입을 모은다. 지금처럼 '기업이 숨기면 정부는 손발이 묶이는' 구조가 지속된다면 제2, 제3의 대규모 개인정보 유출 사태가 되풀이될 수 밖에 없다는 설명이다.
개인정보 탈탈 털려도 "신고해야만 조사 가능"…사각지대 놓인 해킹 대응조치
현행 정보통신망법은 사업자가 해킹 등 침해 사고를 인지했을 때 한국인터넷진흥원(KISA)에 신고하도록 규정하고 있다. 그러나 신고 주체가 피해 기업이다 보니 기업이 침해 사실을 부인하거나 지연 신고할 경우 과학기술정보통신부(과기정통부)나 KISA도 강제적으로 조사에 착수할 권한이 없다.
이번 KT 소액결제 피해 사례가 대표적이다. 지난달 27일 경기도 광명에서 무단 소액결제가 발생한 뒤 피해 지역이 부천, 서울 금천 등으로 확산됐지만 KT가 KISA에 침해사고를 신고한 것은 열흘이 지난 뒤였다. 그 사이 피해 사실은 경찰 신고와 언론 보도를 통해 단편적으로 드러났을 뿐 정부 차원의 정밀 조사는 이뤄지지 못했다.
과기정통부는 신고 이후에야 KT로부터 불법 초소형 기지국 접속 정황 등 단서를 확보해 정밀 분석에 착수했다. 정부 역시 "정황 단계에서라도 적극적인 사실조사 권한이 필요하다"는 입장을 내놨지만 현행 법 체계에서는 사업자 동의와 협조 없이는 심층 조사가 사실상 불가능한 실정이다.
KT의 대응은 해킹 피해 발생 시 구조적 허점을 적나라하게 보여줬다는 비판을 사고 있다. 피해 발생 직후에도 KT는 '해킹 정황은 없다'는 입장을 반복하다 뒤늦게 신고에 나서면서 피해가 더 커졌기 때문이다. 보안 전문가들은 "사이버 공격의 경우 초동 24~72시간이 핵심인데, 신고 지연으로 인해 황금 시간을 놓쳤다"고 지적했다.
기업들이 신고를 주저하는 또 다른 이유는 주가와 평판 리스크가 지목된다. 해킹 사실이 알려지면 곧바로 주가가 급락하고, 대규모 고객 이탈과 소송 위험이 뒤따르기 때문이다. 신고 기준의 모호함도 문제로 지적된다. 침해 여부가 명백히 확인되지 않은 이상 정황만으로는 신고하기 어렵다는 게 기업들의 주장이다.
네트워크 로그에서 의심 행위가 포착되더라도 내부 포렌식과 외부 자문을 거쳐야 침해사고로 확정할 수 있기 때문이다. 그러나 이 공백이 피해 확산으로 이어지고 있다는 점에서 법적 개선이 필요하다는 목소리가 높다.
"조기 신고 땐 감경" 해외는 인센티브, 한국은 처벌 일변도
해외 주요국은 이미 조기 신고 유인을 제도화하고 있다. 영국은 개인정보보호법(GDPR)에 따라 신속히 보고하고 후속 조치를 충실히 이행하면 과징금을 최대 90%까지 감경하도록 규정했다. 실제로 영국항공은 2018년 43만명의 고객 정보가 유출돼 당초 3400억원 규모 과징금 예고를 받았으나 조기 신고와 철저한 대응이 인정돼 최종 과징금은 375억원으로 줄었다.
미국 역시 올해 10월 시행 예정인 '사이버 사고 신고법(CIRCIA)'에서 기업이 72시간 내에 침해 사실을 보고하면 일정 수준의 법적 책임을 면제하도록 했다. 해킹이나 개인정보 유출 사고가 발생했을 때 기업의 조기 신고를 유도해 국가 차원에서 위협 정보를 신속히 수집·공유하고 이로 인한 소비자 피해를 최소화하기 위해서다.
반면 한국은 처벌 일변도다. 개인정보보호법은 침해 사실을 안 날로부터 72시간 안에 신고하지 않으면 과태료를 부과한다고 규정하고 있다. 그러나 신속히 신고해도 감경 규정은 없다. SK텔레콤의 경우 선제적으로 신고하고 1조원에 가까운 복구 비용을 투입했음에도 최대 과징금이 부과됐다.
전문가들은 리스크 뿐인 대응 구조가 자진 신고를 막고 피해 은폐를 조장할 수 있다고 지적했다. 해킹이 단발성 범죄에서 그치지 않고 수개월에서 수년간 잠복하는 지능형 지속 공격(ATP) 형태로 진화한 만큼 이에 발맞춰 제도적 보완도 이뤄져야 한다는 설명이다.
정치권도 움직이고 있다. 최수진 국민의힘 의원은 과기정통부 민관합동조사단의 조사 권한을 확대하고 사업자의 자료 제출 의무를 강화하는 내용의 정보통신망법 개정안을 발의했다. 중대한 사고뿐 아니라 해킹 정황만으로도 정부가 선제적으로 조사에 착수할 수 있도록 하겠다는 취지다.
보안업계 관계자는 "해킹은 이미 산업화됐는데 한국은 여전히 '기업이 신고하면 조사한다'는 구시대적 방식을 고수하고 있다"며 "정부·기업·금융기관·수사기관 간 데이터를 실시간 공유하는 공동 대응 프로토콜을 마련해야 한다"고 말했다. 이어 "늑장 신고➞피해 확산➞사후 처벌의 악순환을 끊기 위해선 조기 신고 시 감경·면책을 제도화하는 실효성 있는 장치가 필요하다"고 설명했다.
홍기용 인천대 교수는 "KT 사례에서 드러났듯 기업 자진 신고에 의존하는 현재 제도는 한계가 명확하다"며 "기업은 주가와 이미지 추락을 우려해 피해를 축소하거나 은폐하고, 정부는 권한 부족으로 뒤늦게 조사에 착수하는데 그 사이 소비자 피해는 확산된다"고 지적했다. 이어 "선진국처럼 조기 신고를 유도하는 인센티브를 마련하고, 정부 조사 권한을 강화하는 제도 개편이 시급하다"고 말했다.
Copyright ⓒ 르데스크 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
