▲ 배경훈 부총리 겸 과학기술정보통신부 장관이 22일 정부서울청사에서 열린 합동브리핑에서 범부처 정보 보호 종합대책을 발표하고 있다.
이동통신사를 중심으로 해킹 사고와 늑장 신고가 잇따르자 정부가 신고 없이 현장 조사를 가능하게 하는 등 고강도 규제의 칼을 빼 들었습니다.
과학기술정보통신부와 관계 부처가 내놓은 '범부처 정보 보호 종합대책'에는 이 같은 내용을 포함해 징벌적 과징금 도입 등 추가 제재 방안이 다수 포함됐습니다.
SK텔레콤, KT, 롯데카드, SK쉴더스 등 업종을 막론하고 해킹 사고가 발생하며 일단 즉시 실행할 수 있는 단기 과제 위주의 처방전을 내놓은 셈입니다.
이번 종합대책에서는 해킹 정황을 확보한 경우 기업의 신고 없이 현장 조사할 수 있도록 정부의 조사 권한을 확대했습니다.
배경훈 부총리 겸 과기정통부 장관은 "기존에는 해킹이나 침해 사고 발생 시 신고를 하지 않으면 조사할 수 없었다"며 "정부가 직권 조사를 하겠다는 게 이번 대책의 가장 큰 차이점"이라고 설명했습니다.
또, 해킹 신고를 미루거나 재발 방지 대책을 이행하지 않는 등 보안 의무를 위반하면 과태료나 과징금을 상향하고 징벌적 과징금을 도입하는 강수를 뒀습니다.
배 부총리는 "정보통신망법으로도 개인정보 유출 등 법 위반시 전체 매출의 3% 이하 과징금을 부과할 수 있도록 정책 연구를 진행하고 있다"고 말했습니다.
현재는 개인정보보호법 위반 시 전체 매출의 3%까지 과징금을 부과할 수 있습니다.
이러한 제재 강화의 배경으로는 해킹 정황 발생 당시 기업들이 고의로 신고를 미뤄 초기 대응이 늦어졌다는 의혹이 제기된 점이 꼽힙니다.
현행 정보통신망법은 침해 사고 발생 후 24시간 이내에 한국인터넷진흥원(KISA)에 사고를 보고하도록 하고 있습니다.
하지만 지난 4월 SK텔레콤 유심 정보 해킹 사태 당시에는 사고를 인지한 뒤 만 하루가 지난 시점 KISA에 침해 사실을 신고했습니다.
불법 기지국으로 인한 무단 소액결제가 발생한 KT 역시 이러한 '24시간 룰'을 어기고 약 3일이 지난 시점에 KISA에 서버 침해 흔적과 의심 정황을 보고한 겁니다.
통상 해킹 사고의 경우 발생 직후 24시간에서 48시간까지가 '골든타임'으로 이 기간에 서버 로그, 접근, 유출 경로 등을 파악해야 피해 확산을 예방하고 증거를 보존할 수 있습니다.
특히 KT의 경우 보고가 늦어지면서 피해 기지국과 결제 경로를 제때 파악하지 못했다는 지적입니다.
또, 이번 종합대책에 포함된 정보보호공시 의무 기업 확대 방안이 해킹 사고를 예방할 수 있는 묘안이 될 수 있을지에도 업계의 관심이 쏠립니다.
올해 기준 의무 대상 기업 666곳 가운데 23.7%인 158개 기업에 정보 보호 인력이 전혀 없는 것으로 집계되는 등 의무·자율 공시로 보안 역량을 강화하겠다는 제도 취지가 유명무실화된 상황이기 때문입니다.
과기정통부 관계자는 "보안에 대한 인식을 더 이상 비용이 아닌 기업의 성패를 가르는 투자로 전환할 수 있도록 정보 보호 공시 의무 시업을 상장사 전체로 확대하고 보안 역량 수준을 등급화해 공개하도록 하겠다"고 설명했습니다.
한편 온나라 시스템 해킹 등 정부 역시 해킹 피해 책임이 있지만 기업 규제만으로 이를 해결하려 한다는 볼멘소리도 나옵니다.
이에 대해 배 장관은 "정부의 책임이 크다는 것을 부인할 수 없다"며 "정부는 무조건적인 제재로 기업을 압박하기보다 공동으로 해결하길 원한다"고 설명했습니다.
정부는 내년 예산안에 올해보다 7.7% 증가한 4천12억 원을 정보 보호 예산으로 편성하고 중장기적 정보 보호 대책에서 정부 책임 방안을 발표하겠다고 전했습니다.
(사진=연합뉴스)
동영상 기사
동영상 기사
동영상 기사
