해킹 사고가 발생하더라도 현행 정보통신망법 체계에서는 기업 보안 전반을 강제로 조사하는 ‘전수조사’가 불가능하다. 전문가들은 이 같은 제도적 한계로 인해 드러나지 않은 보안 취약점이 방치될 수 있다며 시급한 보완책이 필요하다고 지적한다. 일각에서는 “기업은 이미 해킹당한 기업과 앞으로 해킹당할 기업, 두 가지뿐”이라는 자조 섞인 말까지 나온다.
22일 보안 업계 전문가들은 해킹 사고 대응의 우선순위로 72시간 내 신고 의무 강화를 꼽으며, 필요할 경우 비공개 전수조사도 병행해야 한다고 지적한다. 특히 국가안보나 기간산업과 같이 피해 파급력이 큰 기업에 대해서는 예외적으로 강력한 조사 권한을 부여할 수 있도록 관련 법을 개정해야 한다는 목소리도 나온다.
현행법에 따르면 수사기관이나 정부는 해킹 사고 발생 기업의 모든 시스템을 상시 감시하거나 의심만으로 광범위하게 조사할 법적 근거는 없다.
정보통신망법 제48조의4는 해킹 등 침해사고 발생 시 기업이 원인 분석 및 재발 방지 조치를 의무화하고 있으나, 조사 범위는 사고 발생 시스템으로 제한된다. 개인정보보호법 역시 피해 확산 방지를 위한 조치를 규정하고 있지만, 사고 발생 이후에만 적용돼 사전적·전면적 조사는 불가능하다.
해킹 사고 조사는 기업이 한국인터넷진흥원(KISA) 등 기관에 신고해야 시작된다. 그러나 기업은 이미지 실추나 과징금 등을 우려해 피해 사실을 축소·은폐하려는 경향이 크다. 신고되지 않은 사고는 원인을 밝히거나 같은 수법에 여전히 노출 될 수 있어 잠재적 위협으로 남을 수밖에 없다.
전문가들은 기업 전체 보안 시스템에 대한 전수조사가 필요하다는 지적에 공감하고 있다. 하지만 기업 자율성과 현실적 부담을 고려할 때 강제 집행은 한계가 있다고 본다. 때문에 해킹 사고 발생 72시간 내 신고 의무 강화를 꼽는다. 신고율을 높여야 제도적 대응이 가능하다는 것이다.
여기에 더해 전수조사를 하더라도 조사만으로 발생할 수 있는 기업의 유무형적 피해를 막기 위해 비공개 처리할 필요가 있다고 말한다.
박춘식 전 아주대 사이버보안학과 교수는 “확실한 증거가 있을 경우 전수조사를 허용하되, 기업의 평판과 경제적 피해를 고려해 '비공개 조사'를 병행해야 한다”고 말했다.
보안 투자 여력이 부족한 중소·중견 기업에 현실적 지원책을 마련해야 한다고도 했다. 박 교수는 "규모가 작은 기업에 정부가 세제 혜택이나 공동 보안관제 지원 등 현실적 지원책을 마련해 줄 필요성이 있다"며 "단순히 규제 강화만으로는 기업 보안 수준을 끌어올리기 어렵다"고 말했다.
다만 특정 산업이나 국가 안보에 핵심적 역할을 하는 기업은 예외적으로 강력한 조사 권한이 필요하다는 의견도 있다. 박 교수는 "정보통신기반보호법이 지정한 기간산업 기업은 해킹 피해 시 국가적 차원의 위기로 번질 수 있어, 전수조사나 강제 점검이 불가피하다"며 "개인정보 유출 규모가 일정 기준을 넘는 대형 사고 역시 ‘중대한 국가적 사안’으로 보고 즉각적인 조사 권한을 부여할 필요가 있다"고 말했다.
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지
![[르포] 중력 6배에 짓눌려 기절 직전…전투기 조종사 비행환경 적응훈련(영상)](https://image.ajunews.com/content/image/2024/02/29/20240229181518601151_258_161.jpg)
