업계 “필요성엔 공감…‘악용’ 주의해야”
이철우 변호사 “늑장 신고만으로 처벌 시 기업 부담 클 듯”
[SRT(에스알 타임스) 방석현 기자] 통신사들의 잇단 해킹으로 안전 관리가 도마 위에 오른 가운데 정보통신망법 개정이 이뤄질지 주목된다. 정보통신망법은 사람의 개인 정보를 보호하고 정보 통신망을 건전하고 안전하게 이용할 수 있는 환경을 조성하는 데 필요한 사항을 규정한 법률이다.
현행법은 정보통신 서비스 제공자가 침해 사고 인지시 24시간 이내에 과학기술정보통신부 장관이나 한국인터넷진흥원(KISA)에 신고하고 위반 시 3,000만원 이하의 과태료를 내도록 규정하고 있다. 다만 당국의 내부 정보 접근 등을 우려한 기업들이 해킹을 당하고도 '쉬쉬'하면서 사이버 보안 역량이 약화되는 상황이 지적 돼왔기에 제도 개선에 대한 목소리가 커지고 있다.
16일 업계에 따르면 배경훈 과학기술정보통신부 장관은 지난 12일 서울 광화문에서 취임 50일을 기해 열린 기자 간담회에서 사이버 침해를 당한 기업이 당국에 신고하지 않으면 당국 개입이 어려운 현행 정보통신망법의 개선 필요성을 언급했다.
배 장관은 "신고 이후 당국이 조사할 수 있는 지금 체계를 바꾸기 위해서 국회와 소통 중"이라며 "통신사들도 정부를 믿고 문제가 생겼을 때 바로 신고하거나 상의할 수 있어야 할 것"이라고 말했다.
이 때문에 KT의 소액결제 사건 발생 당시 해킹 의혹도 불거졌지만 과기정통부·KISA는 '민관합동조사단'을 구성할 수 없었던 것으로 전해진다. 현행정보통신망법상 기업이 침해당했다고 자진신고 하지 않는 한 당국 현장 조사는 불가능하기 때문이다.
이에 최민희 국회 과학기술정보방송통신위원장은 기업의 자진신고 회피를 원천 차단하고 해킹사고에 신속하게 대응하기 위해 정보통신망법을 개정하는 ‘침해사고 조사심의위원회 설치법’을 전날 대표발의 했다. 해킹 사고 의심 정황에도 신고를 하지 않아 현행 정보통신망법에 따른 민관합동조사단이 구성되지 못한 점을 개선하기 위한 취지다. 개정안은 민관합동조사단이 구성되기 전 침해사고 발생을 의심할만한 정황이 있어 조사가 필요한 경우와 중대한 침해사고에 해당하는 경우에 이를 판단할 수 있는 ‘침해사고 조사심의위원회’를 설치하는 게 골자다.
하지만 통신 업계는 법안 개정에 조심스러운 입장이다.
업계 관계자는 “SKT에 이어 KT까지 해킹에 따른 늑장대응이 뭇매를 맞고 있는 게 사실”이라며 “통신사 입장에선 해킹 정황 의심만으로 KISA 등에 신고할 경우 없는 잘못도 있는 것처럼 만들기에 자체적으로 해결해 왔던 게 관행이었다”고 말했다.
또다른 업계 관계자는 “정보통신망법을 개정해 해킹 피해를 줄일 수 있는 최소한의 안전장치를 마련해 두는 것에 반대할 사람은 적지만 개정된 법이 남용될 경우 기업에 부담을 줄 수 있기 때문에 이에 대한 고려가 필요할 것”이라고 지적했다.
이 관계자는 이어 “KT 사태에 과기부의 민관합동조사단은 출범하지 못했지만 개인정보보호위원회의 조사는 진행된 바 있듯이 정보통신망법과 개인정보보호법 사이의 사각지대를 채울 수 있는 개정이 필요할 것”이라고 했다.
이철우 문화법률사무소 대표 변호사는 “SKT·KT의 사태 발생 이후 늑장 대응이 문제가 되고 있지만 늦게 신고한 것 만으로 처벌하는 것은 판례가 없는 데다 위법이라는 법원의 판결이 있을 시 개정이 이뤄지는 게 순서일 것”이라며 “신고를 하지 않은 것만으로 처벌하는 것이 해킹을 막는 직접적인 수단이 될지는 두고 봐야 하는 만큼 공공기관의 기업에 대한 제재를 어느 선까지 정하는 것에 대해선 신중할 필요가 있다”고 말했다.