올해 들어 통신사·카드사 해킹 사고가 연이어 발생한 가운데 정부가 이런 사이버 침해 사고에 대응하기 위해 공공·금융·통신 등 1600여개 정보통신 시스템을 대대적으로 점검하기로 했다. 해킹 정황이 있을 때는 기업이 신고하지 않더라도 직권으로 조사할 수 있도록 조사 권한도 확대하기로 했다.
과학기술정보통신부와 금융위원회, 개인정보보호위원회, 국가정보원, 행정안전부 등 관계부처는 22일 정부서울청사에서 대국민 브리핑을 열어 이런 내용의 ‘범부처 정보보호 종합대책’을 발표했다. 올해 초 2300만명의 유심 정보가 유출된 에스케이텔레콤(SKT) 해킹 사태 이후, 케이티(KT) 무단 소액결제 사건, 롯데카드 고객정보 유출 사건 등이 연이어 발생하면서 국민 불안이 높아지자, 범정부 차원의 대응책을 내놓은 것이다.
정부는 우선 국민 대다수가 이용하는 공공·금융·통신 등 1650개 정보통신 시스템을 대상으로 보안 취약점 점검을 추진하기로 했다. 공공기관 기반시설 288개, 중앙·지방 행정기관 152개, 금융업 261개, 통신·플랫폼 등 정보보호관리체계(ISMS) 949개가 대상이다. 정부가 이처럼 광범위하게 보안 점검에 나서는 것은 이번이 처음이다. 통신사에 대해서는 강도 높은 불시 점검을 추진한다. 지난 9월 발생한 케이티 무단 소액결제 사건의 범행 수단으로 지목된 소형기지국은 안정성이 확보되지 않을 경우 즉시 폐기하도록 강제할 방침이다.
특히 정부가 해킹 의심 정황을 확보한 경우, 기업이 해킹 사실을 과기정통부나 한국인터넷진흥원(KISA·키사)에 신고하지 않더라도 신속하게 조사할 수 있도록 조사 권한을 확대한다. 지금은 해킹 정황 단계에서는 기업의 자진 신고가 없으면 정부의 직권 조사가 불가능하다. 개인정보 유출 정황이 있어야 외부 신고만으로 개인정보보호위원회가 조사할 수 있다.
해킹 사고를 둘러싼 기업의 피해 축소 및 은폐 논란에 대한 대응책도 마련했다. 정부는 해킹 지연신고 등 기업이 보안 의무를 위반할 경우 부과하는 과태료와 과징금을 높이고, 이행강제금 및 징벌적 과징금 도입 등의 제재를 강화하기로 했다. 배경훈 부총리 겸 과기정통부 장관은 “현재는 개인정보보호법 위반 시 전체 매출의 3%까지 과징금을 부과할 수 있다”며 “정보통신망법 차원에서도 이 정도의 과징금을 부과할 수 있도록 정책연구를 하고 있다”고 말했다.
정부가 이처럼 제재를 강화한 것은 최근 해킹 사고와 관련해 해당 기업들이 늑장 신고를 한 일과 무관치 않아 보인다. 에스케이텔레콤은 지난 4월 유심 정보 해킹 사태 당시 사고를 인지한 뒤 하루가 지난 시점에 키사에 침해 사실을 신고했고, 케이티도 지난달 해킹 사실을 인지하고도 사흘 뒤에야 당국에 신고했다. 신고가 늦어지면서 조기 대응이 늦어졌다는 지적이 나왔다.
다만, 통신업계에서는 이런 대책을 두고 과도한 행정권 행사가 이뤄질 수 있다고 우려한다. 이와 관련해 류제명 과기정통부 2차관은 “이번 조처의 목적은 처벌이 아니라 빠른 대처”라며 “징벌적 과징금을 도입할 때 자발적으로 신고한 기업에는 인센티브를 줄 수 있는지 협의하겠다”고 말했다.
'">
'">
'">
'">
