침해 사실 '부인·축소'···"제도적 구조 개선 시급"유럽 NIS2 예로···증거 인멸시 최대 170억 벌금LGU+ 'IMSI' 대책도 미비···"신규 가입 중단해야"
KT·LG유플러스가 해킹 증거를 고의적으로 인멸했다는 의혹을 받고 있는 가운데, 가중처벌 등 법안 개정의 필요성이 제기됐다. 전문가들은 현행법상 기업들이 사고를 공개하고 조사를 받는 것보다 사안을 은폐·축소하는 것이 더 합리적인 현실인 터, 보안 강화를 위해서는 이 부분 개선이 선제적으로 이뤄져야 한다고 촉구했다.
이해민 조국혁신당 의원은 19일 국회에서 진행한 '해킹 은폐 제로: 고의적 해킹 은폐 구조 개선 간담회'에서 "(해킹 사고) 은폐와 축소가 기업의 합리적인 선택지가 되면 안 된다"고 강조했다.
지난해 SK텔레콤, KT, LG유플러스, 쿠팡, 롯데카드 등 기업은 대규모 해킹 사고에 진통을 앓았다. 이 중 KT·LG유플러스 등 일부 기업은 사건 은폐 목적으로 서버를 폐기했다는 혐의로 경찰 수사를 받고 있다.
이날 참석자들은 대규모 해킹 사고가 발생 시 증거를 인멸하는 것이 책임을 면하게 되는 모순적인 현상이 벌어지고 있다고 지적했다. 사고를 인정함으로써 치러야 할 과징금과 브랜드 가치 하락보다 지연 신고나 자료 제출 거부로 부과받는 과태료가 상대적으로 훨씬 저렴하다는 점도 문제점으로 들었다. 결국 이들 기업의 행태는 구조적 문제와도 맞닿아 있다는 주장이다.
독일 보안기업 GSNK의 박신조 박사는 "무엇보다 LG유플러스의 사례처럼 침해 원인이나 규모 파악조차 어려운 증거 파괴가 일어나는 일이 가장 큰 문제"라고 지적했다. 최현우 성신여대 융합보안공학과 교수도 "최근 국내에서 발생한 대규모 침해사고의 공통된 특징은 침해 사실을 부인하거나 상황을 축소하려는 경향이 반복된다는 점"이라고 짚었다.
사고 은폐를 막기 위해서는 제도적 구조 개선이 시급하다는 주장이다. 현행법에서는 '개인정보보호법'과 '정보통신망법' 등을 통해 자료 보전을 일부 강제하고 있다. 정보통신망법에서는 침해사고 발생 시 신고 의무를 규정하고 있는데 이행하지 않을 시 3000만원 이하의 과태료를 부과한다.
반면, 유럽의 경우 '네트워크 및 정보 시스템의 보안에 관한 지침(NIS2)'을 통해 고액의 벌금을 부과하고 있다. 이 지침에서는 사고 조사를 위한 정보를 무단으로 폐기한 경우 등에는 최대 1000만유로(170억원)를 벌금으로 부과할 수 있다고 명시하고 있다.
정보통신망법 개정안의 경우 지난 12일 국회 본회의를 통과하면서 문턱을 넘었다. ▲사업자 고의 또는 중과실에 의한 침해사고가 5년 이내 2회 이상 반복 발생 시 매출액의 3% 이내 과징금 부과 ▲침해 정황만으로도 정부 직권으로 민관합동조사단 구성 ▲불법스팸 전송·방치하는 등 정보통신망법에 따른 사업자 의무 위반 시 매출액 6% 이내 과징금 부과 등이 포함됐다.
최근 LG유플러스 가입자식별번호(IMSI) 결함과 관련된 지적도 이어졌다. 한석현 서울YMCA 실장은 "LG유플러스는 2G 때부터 사용하던 패턴을 그대로 유지해 5G까지 사용 중"이라며 "언론에 공표되자 대책을 발표했는데, 4월 13일까지 신규 가입자에 대한 보호 대책이 누락됐다"고 설명했다. 이어 "보안성이 취약한 유심을 그대로 발급받아야 하는 상황, 신규 가입부터 중단해야 한다"고 힘줘 말했다.
김광연 KISA 디지털위협대응본부 위협분석단 단장은 "고도화되는 사이버 위협에 맞서 민관이 협력해 신속하고 정확한 원인 분석을 수행할 수 있는 체계를 공고히 하겠다"고 했다. 임정규 과기정통부 정보보호네트워크정책실 국장은 "우리나라뿐만 아니라 해외 사례도 종합적으로 검토해 필요한 제도를 도입하도록 최선을 다하겠다"고 말했다.
이해민 조국혁신당 의원은 19일 국회에서 진행한 '해킹 은폐 제로: 고의적 해킹 은폐 구조 개선 간담회'에서 "(해킹 사고) 은폐와 축소가 기업의 합리적인 선택지가 되면 안 된다"고 강조했다.
);)
이날 참석자들은 대규모 해킹 사고가 발생 시 증거를 인멸하는 것이 책임을 면하게 되는 모순적인 현상이 벌어지고 있다고 지적했다. 사고를 인정함으로써 치러야 할 과징금과 브랜드 가치 하락보다 지연 신고나 자료 제출 거부로 부과받는 과태료가 상대적으로 훨씬 저렴하다는 점도 문제점으로 들었다. 결국 이들 기업의 행태는 구조적 문제와도 맞닿아 있다는 주장이다.
독일 보안기업 GSNK의 박신조 박사는 "무엇보다 LG유플러스의 사례처럼 침해 원인이나 규모 파악조차 어려운 증거 파괴가 일어나는 일이 가장 큰 문제"라고 지적했다. 최현우 성신여대 융합보안공학과 교수도 "최근 국내에서 발생한 대규모 침해사고의 공통된 특징은 침해 사실을 부인하거나 상황을 축소하려는 경향이 반복된다는 점"이라고 짚었다.
사고 은폐를 막기 위해서는 제도적 구조 개선이 시급하다는 주장이다. 현행법에서는 '개인정보보호법'과 '정보통신망법' 등을 통해 자료 보전을 일부 강제하고 있다. 정보통신망법에서는 침해사고 발생 시 신고 의무를 규정하고 있는데 이행하지 않을 시 3000만원 이하의 과태료를 부과한다.
반면, 유럽의 경우 '네트워크 및 정보 시스템의 보안에 관한 지침(NIS2)'을 통해 고액의 벌금을 부과하고 있다. 이 지침에서는 사고 조사를 위한 정보를 무단으로 폐기한 경우 등에는 최대 1000만유로(170억원)를 벌금으로 부과할 수 있다고 명시하고 있다.
정보통신망법 개정안의 경우 지난 12일 국회 본회의를 통과하면서 문턱을 넘었다. ▲사업자 고의 또는 중과실에 의한 침해사고가 5년 이내 2회 이상 반복 발생 시 매출액의 3% 이내 과징금 부과 ▲침해 정황만으로도 정부 직권으로 민관합동조사단 구성 ▲불법스팸 전송·방치하는 등 정보통신망법에 따른 사업자 의무 위반 시 매출액 6% 이내 과징금 부과 등이 포함됐다.
최근 LG유플러스 가입자식별번호(IMSI) 결함과 관련된 지적도 이어졌다. 한석현 서울YMCA 실장은 "LG유플러스는 2G 때부터 사용하던 패턴을 그대로 유지해 5G까지 사용 중"이라며 "언론에 공표되자 대책을 발표했는데, 4월 13일까지 신규 가입자에 대한 보호 대책이 누락됐다"고 설명했다. 이어 "보안성이 취약한 유심을 그대로 발급받아야 하는 상황, 신규 가입부터 중단해야 한다"고 힘줘 말했다.
김광연 KISA 디지털위협대응본부 위협분석단 단장은 "고도화되는 사이버 위협에 맞서 민관이 협력해 신속하고 정확한 원인 분석을 수행할 수 있는 체계를 공고히 하겠다"고 했다. 임정규 과기정통부 정보보호네트워크정책실 국장은 "우리나라뿐만 아니라 해외 사례도 종합적으로 검토해 필요한 제도를 도입하도록 최선을 다하겠다"고 말했다.
관련기사
고객 보안 위협에 '가능성'이란 없다관련태그
뉴스웨이 강준혁 기자
junhuk210@newsway.co.kr
저작권자 © 온라인 경제미디어 뉴스웨이 · 무단 전재 및 재배포 금지
);){kind=link}
댓글