시사위크=조윤찬 기자 다수의 기업들이 지난해 해킹 사태를 겪어 향후 보안 투자 확대 기대가 나오는 한편, 정부 제재 및 사업 영향이 두려워 해킹 사실을 숨기는 일이 늘어날 것이란 우려도 제기된다.
전문가들은 서버를 폐기하고 자진 신고하지 않는 게 합리적인 선택으로 여겨지게 내버려 두면 안 된다고 경고했다. 향후 기업들은 지난해 해킹 사태 사례를 참고해 대응할 것이라는 설명이다.
지난해 통신사 해킹을 돌아보면 SKT는 유심 정보 유출 초기에 자진 신고한 이후 영업정지를 받고 가입자가 이탈해 이동통신 매출이 하락했다. 게다가 SKT는 개인정보위 과징금 등으로 지난해 3, 4분기 배당을 미시행했다.
정부 조사가 원활하지 않았던 사례로는 LG유플러스가 있다. 민관합동조사단에 따르면 LG유플러스는 지난해 KISA(한국인터넷진흥원)로부터 해킹 정황 확인 요청을 받은 이후 서버를 폐기했다. 민관합동조사단은 LG유플러스의 통합 서버 접근제어 솔루션(APPM)과 연결된 정보(서버목록, 서버 계정정보, 임직원 성명)가 LG유플러스에서 유출된 것을 확인했지만, 관련 서버가 폐기돼 해킹 원인을 조사할 수 없었다.
현재 나온 후속 조치는 처벌 강화다. 정치권은 ‘정보통신망법’을 개정해 과징금 조항을 신설하며 침해사고 처벌을 강화했다. 침해사고를 자진 신고해야 민관합동조사단이 조사할 수 있는 문제에도 대응했다. 하지만 처벌 강화만으로는 기업들의 협조를 끌어내는 데는 한계가 있다.
현행법과 개정안은 정부 조사에 자발적으로 나서는 경우와 해킹을 은폐하는 경우에 규제가 각각 나눠져 있지는 않다. 이러한 상황에서 기업들은 외부 보안 전문가들이 투입되는 민관합동조사단 조사를 두려워할 수밖에 없다. 또한 사고 초기 사회적 비난을 감수하고 자진신고를 하더라도 과징금 부과라는 결과를 받을 수 있다.
과징금을 내세워 관리하면 기업들이 오히려 사건을 더욱 은폐할 수 있다는 지적이 나온다. 정부는 자진신고로 이뤄지는 조사는 정부가 직권조사를 진행할 때와는 제재 수준이 차이가 있다는 메시지를 내는 것도 요구된다. 민관합동조사단 조사는 해킹 원인과 개선 방안을 함께 찾아나가는 과정으로 인식 전환이 필요하다.
처벌 강화가 필요한 부분은 자료보전 위반과 거짓 자료 제출이다. 자료보전과 거짓 자료 제출이 유능한 게 아니며 기업에 이익이 되지 않는다는 점을 명확히 해야 한다. 최근 국회에서도 자진신고를 지원하는 법제도 마련에 머리를 맞댔다. 해킹 피해 기업은 자진신고 등을 고려해 달리하는 접근하는 게 필요하다. 제재는 정부 조사를 방해하는 기업에 집중하는 방향이 적절하다.
Copyright ⓒ 시사위크 무단 전재 및 재배포 금지
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기