[뉴스토마토 이지은 기자] 대규모 통신·플랫폼 기업들의 해킹 사고 은폐 논란이 반복되면서, 사고 축소와 증거 인멸을 막기 위한 제도 개선 필요성이 국회를 중심으로 제기됐습니다. 해킹 사실을 투명하게 공개할수록 과징금과 평판 리스크가 커지는 반면, 신고를 지연하거나 자료 제출을 거부해도 상대적으로 낮은 과태료에 그치는 구조가 기업의 은폐를 부추긴다는 지적입니다.
이해민 조국혁신당 의원은 19일 국회 의원회관에서 열린 '해킹 은폐 제로: 고의적 해킹 은폐 구조 개선 토론회'에서 "보안 실패를 인정하고 피해 복구에 나서야 할 기업들이 사고를 축소하고 증거를 지우는 데 몰두하고 있다"며 "증거인멸을 통해 인과관계를 불명확하게 만들면 오히려 제재 수준이 낮아지는 역설적 구조가 문제"라고 밝혔습니다.
19일 국회 의원회관에서 '해킹 은폐 제로: 고의적 해킹 은폐 구조 개선 토론회'가 열렸다. (사진=뉴스토마토)
실제 최근 대규모 해킹 사고와 관련해
KT(030200),
LG유플러스(032640), 쿠팡 등에 대한 경찰 수사가 진행 중입니다. KT는 해킹 감염 서버를 임의 폐기하고 보고 시점을 다르게 제출한 의혹을 받고 있고, LG유플러스는 서버 운영체제(OS)를 재설치해 포렌식 조사를 어렵게 했다는 주장이 제기됐습니다. 쿠팡 역시 정부의 자료보전 명령을 위반하고 접속 기록을 삭제했다는 논란이 불거진 바 있습니다.
이처럼 해킹 은폐가 반복되는 배경에는 현행 제도의 한계가 자리하고 있다는 분석입니다. 사고를 투명하게 공개할 경우 대규모 과징금과 브랜드 가치 하락을 감수해야 하지만, 신고 지연이나 자료 제출 미이행에 대해서는 최대 3000만원 수준의 과태료만 부과되는 구조가 형성돼 있다는 것입니다.
최경진 가천대 법학과 교수는 "현행 정보통신망법은 침해 사고 신고 의무를 규정하고 있지만 이를 위반해도 과태료 수준에 그친다"며 "데이터가 삭제되면 위법행위를 입증하기 어려워 대형 과징금 부과 자체가 어려워지는 구조"라고 지적했습니다. 이어 "행위자 개인 처벌에 그치는 구조에서는 조직 책임이 희석된다"며 "기업 차원의 책임 구조로 전환할 필요가 있다"고 덧붙였습니다.
최현우 성신여대 교수도 "현재 구조는 '숨기면 과태료, 공개하면 기업 위기'라는 선택을 강요하고 있다"며 "이 같은 환경에서는 기업이 투명성을 선택하기 어렵다"고 설명했습니다.
SK텔레콤(017670)이 유심 정보 유출 사고로 1348억원의 과징금을 부과 받은 사례를 언급하며, 경쟁사 입장에서는 신고 대신 과태료를 선택하는 유인이 작동할 수 있다는 분석입니다.
19일 국회 의원회관에서 '해킹 은폐 제로: 고의적 해킹 은폐 구조 개선 토론회'가 열렸다. (사진=뉴스토마토)
이에 따라 제재 체계를 전반적으로 손질해야 한다는 목소리가 커지고 있습니다. 유럽의 네트워크·정보시스템 보안 지침(NIS2)처럼 사고 발생 초기 단계부터 신속한 공개를 의무화하고, 이를 이행하지 않을 경우 강력한 제재를 부과하는 방식이 대안으로 제시됩니다.
독일의 경우 침해 사고 인지 후 24시간 내 사고 개요를 당국에 보고하도록 하고 있으며, 관련 정보를 투명하게 공개하도록 제도화하고 있습니다. 독일 보안 기업 GSMK의 박신조 박사는 "해외처럼 국민에게 영향을 미치는 정보를 기업이 투명하게 공개하도록 해야 한다"며 "실효성 있는 공개 문화 정착을 위해서는 정책적 당근과 채찍이 병행돼야 한다"고 강조했습니다.
전문가들은 단순 처벌 강화뿐 아니라 현실적인 기준 마련도 필요하다고 보고 있습니다. 최경진 교수는 "증거 보존을 위한 데이터 범위와 보관 기간을 기술 수준과 비용 부담을 고려해 합리적으로 설계해야 한다"며 "과학적 기준에 기반한 제도 정립이 필요하다"고 말했습니다. 최현우 교수도 "기업이 사고를 숨기는 것이 아니라 공개하는 것이 더 합리적인 선택이 되도록 제도를 설계해야 한다"고 덧붙였습니다.
정부 역시 제도 개선 검토에 나선 상황입니다. 최근 국회를 통과한 정보통신망법 개정안에는 정보보호최고책임자(CISO) 권한 강화와 함께 침해 정황 발견 시 정부 조사 권한 확대, 반복 사고에 대해 매출액의 최대 3%까지 과징금을 부과할 수 있는 근거가 담겼습니다. 임정규 과학기술정보통신부 정보보호네트워크정책관은 "해외 사례와 국내 상황을 종합적으로 고려해 제도 개선을 검토하겠다"고 말했습니다.
이지은 기자 jieunee@etomato.com
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 김충범 테크지식산업부장이 최종 확인·수정했습니다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지