[디지털데일리 이종현기자] 정보통신망법 개정으로 침해사고에 대한 법제가 개편됐다. 사고 발생시 기업이 수행해야 하는 피해확산 조치 요건이 구체화된 가운데 조치권고나 자료보전 및 자료제출 요구 권한도 명문화했다. 그러나 사고 발생시 알리지 않고 넘어가는, ‘깜깜이’는 여전할 것으로 보인다.
정보통신망법은 정보통신망 이용 촉진 및 이용자 보호를 목적으로 하는 법이다. 스팸메일이나 해킹과 같은 사이버위협에 직접적으로 대응하는 법제로, 침해사고에 대한 대응 역시 해당 법에 명문화돼 있다.
정보통신망법이 개정된 것은 2022년 12월 11일이다. 침해사고시 ‘피해의 확산을 방지하여야 한다’와 같은 표현에서 ‘결과에 따라 피해의 확산 방지를 위해 사고대응, 복구 및 재발 방지에 필요한 조치를 하여야 한다’로 구체화했다.
또 과학기술정보통신부(이하 과기정통부) 장관에게 침해사고 발생시 원인 분석 및 피해 확산 방지, 사고 대응, 복구 및 재발 방지를 위한 대책을 마련하도록 권고할 수 있다는 내용도 담았다. 이밖에 원인 분석 및 대책 마련을 위한 민·관합동조사단 구성 및 침해사고 기업의 자료 보전 등도 포함됐다.
만일 기업이 자료 제출을 거부하거나 거짓 자료를 제출할 경우 과태료를 부과하도록 하는 내용도 더했다. 1회에 300만원, 2회째에 600만원, 3회째 1000만원 등이다. 민·관합동조사단 관련 운영 및 조사 방법, 조사 절차 등도 담았다.
전반적으로 법제를 구체화함으로써 침해사고에 대한 대응력을 높였다고 평가받으나 정보보호업계에서는 “갈길이 멀다”고 말한다. 침해사고를 신고하지 않는다는 근본적인 문제가 개선되지 않은 이상에야 큰 효과를 보기 어려울 것이라는 의견이다.
한국인터넷진흥원(KISA)은 2022년 1~3분기 기준 국내서 267건의 랜섬웨어 피해가 있었다고 집계한다. 그러나 정보보호업계에서는 “말도 안 되는 수치”라고 꼬집었다. KISA가 파악 중인 것의 최소 10배 이상은 발생하고 있다는 설명이다.
사고가 발생했음에도 기업들이 KISA에 신고하지 않는 이유는 명명백백하다. 랜섬웨어의 경우 이미 감염됐다면 별도의 백업이 돼 있지 않는 이상에야 대응이 어렵다. 거기에 개인정보가 유출된 것이 아닌 이상에야 신고 의무도 없다. KISA에 신고함으로써 ‘해킹 당한 기업’이라는 것을 알릴 이유가 없는 상황이다.
정보보업계 관계자는 “침해사고 예방이나, 사고 이후 보안 강화가 필요한데, 이 경우 굳이 KISA에 요청할 이유가 없다. 이를 전문적으로 하는 정보보호 기업들이 많기 때문”이라며 “KISA에 알림으로써 사태를 키워 기업 이미지에 악영향을 줄까 우려하는 곳들이 적지 않다”고 전했다.
또 다른 업계 관계자는 고객이 원하지 않을 경우 침해사고 사례를 KISA에 전달하지 않는다고도 밝혔다. 실제 KISA가 집계하고 있는 침해사고 건수는 무의미한 수준이라고 혹평한 이도 있다.
KISA 침해사고분석단 박용규 단장은 침해사고 신고를 높일 방안은 없냐는 질문에 “딱히 방법이 안 보인다. 정보통신망법의 경우 처벌이 아니라 계도가 목적”이라며 “모니터링을 통해 사고가 발생했다는 정황이 드러나고, KISA가 이를 인지하면 신고토록 안내하고 있다”고 말했다.
그러나 KISA가 각종 위협을 자체 조사하고 파악하는 것은 한계가 명백하다. 현재 다크웹이나 텔레그램 등의 경우 소프트웨어(SW)를 바탕으로 한 자동화된 대응이 어려운 만큼 인력에 의한 상시 모니터링에 의존할 수밖에 없다. KISA보다 더 많은 전문 인력과 전문화된 기술을 운용 중인 정보보호기업들이 경쟁력을 갖는 이유다.
한편 피해 기업들이 자발적인 신고를 하기 어려운 상황인 만큼 제3자에 의한 신고·접수를 활성화해야 하나 이에 대한 대응도 미숙하다.
대표적인 예가 최근 대규모 정보보호 유출을 겪은 LG유플러스다. <디지털데일리>가 1월 2일 침해 정황을 파악해 신고한 뒤 KISA가 대응에 나선 것은 7일 뒤인 1월 9일이다. KISA 역시 11일 <디지털데일리> 신고 이후 사건을 인지했다고 안내했다. 그러나 이후 논란이 확산된 가운데 KISA는 자체 모니터링을 통해 침해를 파악했다고 국회에 보고했다. 앞서 전달한 내용과 상충되는 상황이다. 제3자 신고에 대한 인센티브는 고사하고 신고 주체 및 사건인지 과정조차 왜곡되는 경우가 발생하고 있는 것이다.