이동통신사와 카드사, 포털까지 해킹 공포가 전방위적으로 확산하면서 그간 정보기술(IT) 강국을 자처하던 한국 기업들의 취약한 보안 역량이 여실히 드러났다.
이런 문제를 해결하기 위해선 우선 범정부적인 보안 컨트롤 타워를 마련해야 하고, 해킹 사태로 고객 피해를 준 기업엔 그동안의 '솜방망이 처벌'이 아닌 '기업이 문을 닫을 수도 있다'는 수준의 강력한 제재를 부과해야 한다는 지적이 많다.
◇ 미국·영국, 국가안보 차원서 접근…한국은 대응 미비
과학기술정보통신부와 금융위원회는 지난 19일 통신사, 금융사 사이버 침해사고와 관련한 합동 브리핑에서 범부처 차원의 근본 대책을 마련하겠다고 밝혔다.
류제명 과기부 2차관은 "국가안보실을 중심으로 과기부, 금융위 등 관계부처와 함께 범부처 합동으로 해킹 피해 최소화를 위해 노력하고 있다"고 밝혔다.
그러나 정보통신업계에서는 이번 사태에 대한 단발성 대책이 아닌 보안과 관련한 컨트롤 타워 마련이 필요하다는 지적이 나온다.
IT 선진국들은 사이버 보안을 단순한 IT 산업의 일부가 아닌 국가 안보의 차원에서 접근해 정부 차원의 통합 보안 전담 조직을 운영하고 있다.
미국은 국토안보부 산하에 사이버 및 인프라 보안국(CISA)을 두고, 합동 사이버 방어 협의체(JCDC)를 통해 연방수사국(FBI)·중앙정보국(CIA) 등 정부 산하 정보기관과 사이버 위협에 공동 대응하고 있다.
또 민간 기업, 우방국 파트너 기관과도 실시간으로 사이버 위협 정보를 공유하고 있다.
영국도 정보기관인 정부통신본부(GCHQ) 산하에 사이버 보안 센터(NCSC)를 두고 있다.
영국 정부는 지난 5월 사이버 위협 증가에 따라 국방부 산하 조직과 GCHQ를 통합하는 '사이버·전자전 사령부'를 신설하겠다고 밝히며 사이버 공격에 대한 국가적 대응 역량을 끌어올리고 있다.
일본, 싱가포르 등 국가도 정부 산하에 중앙화된 보안 전담 조직을 두고 공공과 민간 전 분야에 걸쳐 보안 역량 강화에 힘을 쏟고 있다.
한국에도 과기정통부 산하에 한국인터넷진흥원(KISA)이 민간 분야 개인정보보호나 보안 침해사고 대응 등의 역할을 맡고 있다.
그러나 금융 관련 해킹이나 개인정보 유출 사고는 금융위원회 산하 금융보안원이, 공공·안보 분야는 국가정보원이 대응하는 등 보안 관련 조직이 여러 분야에 쪼개져 있다는 비판이 끊임없이 나왔다.
◇ 늑장 신고에도 '솜방망이' 과태료…메타는 미국서 6조원 벌금 '철퇴'
해킹 예방을 위해서는 고객에게 피해를 주고도 사고를 은폐하거나 '늑장 신고'로 사태를 키우는 기업에 막대한 수준의 징벌적 손해배상이 필요하다는 주장도 나온다.
이해민 조국혁신당 의원이 KISA로부터 제출받은 자료에 따르면 지난 1년간 해킹 사고 발생 후 24시간이 지나서야 당국에 신고했거나 아예 신고하지 않은 사례는 총 66건이나 되는 것으로 나타났다.
KT는 서버 침해 사실을 인지하고 3일이 지나서야 KISA에 보안 사고 발생 사실을 신고한 것으로 나타났다.
롯데카드도 해킹 사고를 알아차린 지 무려 6일이나 지나 신고했는데, 실제 유출된 데이터 규모는 맨 처음 발표한 1.7GB의 100배 이상인 200GB로 나타났고 고객 정보 유출도 있었던 것으로 나타나 축소·은폐 의혹도 나왔다.
지난해 정보통신망법 개정 이후로 '해킹 발생 24시간 이내 신고제'가 의무화됐다. 하지만 이를 어긴 기업에는 정작 3천만원 이하의 과태료가 전부라서 제도 자체가 유명무실하다는 지적이 많다.
그마저도 기업이 해킹을 아예 인지하지 못했다고 주장하면 면책될 여지까지 있다.
해킹과 관련해 기업이 자진 신고하면 손해를 보고 오히려 늑장 신고를 하면 '솜방망이' 처벌만 받는 기이한 구조를 갖고 있다.
반면 선진국들은 개인정보 유출 기업에 막대한 징벌적 손해배상과 과징금 등 조치로 경각심을 높이고 있다.
미국 연방거래위원회(FTC)는 이용자 8천700만명의 개인정보를 여론조사 기관에 임의로 유출한 페이스북(현 메타)에 2019년 50억 달러(약 6조원)에 달하는 과징금을 부과했다.
메타는 이와 별개로 2018년 2천900만개의 페이스북 계정이 해킹 피해를 보자 유럽연합(EU) 당국으로부터 2억5천100만유로(약 3천800억원)의 과징금을 부과받기도 했다.
북미 대형 통신사 T-모바일은 2021년 발생한 대규모 개인정보 유출 사고와 관련해 집단소송에 피소, 총 3억5천만달러(약 4천억원)를 소비자들에게 피해 보상금과 위로금으로 지급하기로 합의했다. 또 이와 별개로 1억5천만달러의 보안 기술 관련 투자를 진행하기로 약속했다.
jujuk@yna.co.kr
<연합뉴스>