'해킹발생 24시간 이내 신고'
어겨도 과태료 3천만원 이하
1년간 규정 위반 사례 66건
범정부 컨트롤타워도 시급
◆ 연이은 해킹 사태 ◆
최근 주요 이동통신사와 금융사를 대상으로 한 해킹 등 사이버 침해 사고가 잇따르면서 기업의 책임을 강화하고 사고 은폐에 대한 처벌 수위를 높여야 한다는 목소리가 커지고 있다. 정부가 컨트롤타워를 설치해 국가 안보 차원에서 사이버 보안에 대응해야 한다는 지적도 나온다.
21일 이해민 조국혁신당 의원이 한국인터넷진흥원(KISA)에서 제출받은 자료에 따르면 지난 1년간 해킹 사고가 발생한 후 24시간이 지나서야 당국에 신고했거나 아예 신고하지 않은 사례는 총 66건이나 되는 것으로 나타났다.
지난해 정보통신망법 개정으로 '해킹 발생 24시간 이내 신고제'가 의무화됐지만, 관련 조항을 위반해도 3000만원 이하의 과태료만 부과돼 실효성이 낮다는 지적이 제기된다. 사고 기업이 해킹을 인지하지 못할 경우 과태료마저 부과되지 않을 수 있다. '솜방망이 처벌'이라는 비판이 나오는 이유다.
이에 해킹을 예방하기 위해 사고를 은폐하거나 늑장 신고를 하는 기업에 대해선 막대한 수준의 징벌적 손해배상이 필요하다는 주장이 나오고 있다.
최근 해킹 사고가 발생한 KT는 서버 침해 사실을 인지하고 3일이 지나서야 KISA에 보안 사고가 발생했다고 신고했다. 롯데카드도 해킹 사고를 알아차린 지 무려 6일이나 지나 신고했다. 롯데카드는 실제 유출된 데이터 규모가 맨 처음 발표한 1.7GB의 100배 이상인 200GB로 나타났다.
선진국은 이미 징벌적 손해배상과 과징금 등 조치를 하고 있다. 2019년 미국 연방거래위원회(FTC)는 이용자 8700만명의 개인정보를 여론조사 기관에 임의로 유출한 페이스북(현 메타)에 대해 50억달러(약 6조원)에 달하는 과징금을 부과했다.
정보통신업계에선 국가 사이버 보안을 책임질 컨트롤타워가 필요하다는 지적도 나온다. 정보통신 선진국들은 사이버 보안에 단순한 정보기술(IT) 산업의 일부가 아닌 국가 안보 차원에서 접근하고 있다.
미국은 국토안보부 산하에 사이버 보안 및 인프라스트럭처 보안국(CISA)을 두고, 합동 사이버 방어 협의체(JCDC)를 통해 연방수사국(FBI)·중앙정보국(CIA) 등 정부 산하 정보기관과 사이버 위협에 공동 대응하고 있다. 반면 한국은 과학기술정보통신부 산하 KISA가 민간 분야 개인정보 보호나 보안 침해 사고 대응 등의 역할을 맡고는 있지만, 전체적인 보안 관리 책임은 여러 기관으로 쪼개져 있다. 예를 들어 금융 관련 해킹이나 개인정보 유출 사고는 금융위원회 산하 금융보안원이, 공공·안보 분야는 국가정보원이 맡는 형식이다.
임종인 고려대 정보보호대학원 명예교수는 "사이버 보안은 결국 창과 방패의 싸움이어서 한 번 뚫리면 큰 피해로 이어질 수 있다"며 "국가 안보 차원에서 보안 인프라를 구축하고, 기업의 해킹 사고 대응엔 당근과 채찍을 병행해 조율할 필요가 있다"고 말했다.
[양세호 기자]
![[속보] 특검 “윤, 계엄논의 작년 3월부터 시작…원내대표도 인지 가능성”](https://pimg.mk.co.kr/news/cms/202509/03/news-p.v1.20250903.0f7ed213f6e645018311c6ea68869499_R.jpeg)
![생성형AI 끼고 상담하는 설계사…보험도 인공지능 혁신 진행 중[금융가 톺아보기]](https://pimg.mk.co.kr/news/cms/202509/04/news-p.v1.20250904.4e6ff2e473814eba97c10d2b6c1ee0e0_R.jpg)
English (US) · 