입법조사처 "SKT 해킹 피해 축소 우려…통신 보안 사고 법개정을"

국회입법조사처가 SK텔레콤 해킹 사태를 계기로 신속한 대응이 필요한 통신사 보안 사고에서 피해자가 특정되지 않았더라도 전체 가입자 대상 공지하고 피해 배상 규정을 유연히 적용하도록 법을 개정할 것을 주문했습니다.

국회입법조사처는 오늘(7일) '통신사 해킹 사고 사후 대응의 문제점과 입법과제' 보고서를 통해 "이동 통신망 핵심부가 해킹될 경우 사회 전반에 심대한 영향을 끼치고 국가 안보에 중대한 위협으로 작용할 수 있어 구조적 대응이 필요하다"며 이같이 밝혔습니다.

보고서는 "SKT 해킹 사건에서 기업의 자율적인 대처와 정부의 대응 체계의 한계가 발견됐다"고 지적했습니다.

우선, SKT가 해킹 초기에 자사 홈페이지를 통해서만 유출 사실을 알리다가 지난달 23일이 돼서야 유심 보호 서비스 가입에 대한 전체 안내 문자 발송을 시작한 점을 지적했습니다.

보고서는 "해킹 사고 발생 후 이른 시일 내에 유출 피해자를 특정하지 못한다면 이는 유출 범위와 내용을 정확히 알지 못하는 것이므로 최악의 시나리오를 가정해야 한다"면서 개인정보보호법을 개정해 개인정보 유출 대상자가 특정되지 않더라도 전체 가입자 등에게 구체적 상황과 대응 방법을 개별 통지할 것을 주문했습니다.

해킹 사고가 광범위하거나 중대한 위험으로 이어질 수 있다고 판단되는 경우 재난 경보 체계를 활용할 수 있도록 정보통신망법 또는 방송통신발전 기본법을 개정해야 한다는 의견도 냈습니다.

2022년 SK C&C 데이터센터 화재로 일어난 카카오 장애 당시 정부가 재난 및 안전관리 기본법에 근거해 재난 문자를 3차례 발송했지만, 이번 SKT 해킹에서는 이러한 조치가 없었기 때문입니다.

보고서는 또 해킹 사고에 대한 정부의 조사 권한을 강화하도록 정보통신망법을 개정해야 한다고 제언했습니다.

현재 과학기술정보통신부를 주축으로 한 민관 합동 조사단이 사고 관련 자료 제출을 요구하고 조사 중이지만 강제력이 부족한 형편입니다.

입법조사처는 "(기업의) 소극적 대응이나 사고 은폐를 방지하고 실효성 있는 조치를 유도하기 위해서는 정보통신망법상 과태료를 상향하거나 이행강제금을 부과하는 등 최소한의 조사 강제력을 강화하도록 법을 개정할 필요가 있다"고 강조했습니다.

아울러, 기업이 피해자에 대한 실질적 구제 조처를 하고 피해자가 보상을 쉽게 받을 수 있도록 전기통신사업법, 정보통신망법, 개인정보 보호법도 개정해야 한다고 덧붙였습니다.

특히 피해자가 개인정보 유출과 피해 간 인과관계를 입증하기 어려울 수 있으므로 개인정보 보호법에 인과관계를 추정할 수 있는 규정을 두는 방안을 검토할 것을 주문했습니다.

(사진=연합뉴스)