올해 대한민국 사회와 국가 인프라는 '해킹공화국'이라는 오명을 면치 못하고 있다. 통신·금융·공공기관을 가리지 않고 연쇄적으로 터지는 해킹 사고는 단순한 정보 유출을 넘어 사회 전반의 신뢰를 무너뜨리고 있다. 피해는 수천만 명의 개인정보에 국한되지 않는다. 기업의 경쟁력, 금융 시스템의 안정성, 더 나아가 국가 안보의 근간까지 위협하고 있다. 그러나 대응은 여전히 땜질식에 머물고 있고, 유사한 사고가 반복되고 있다. 뉴스핌은 <해킹공화국> 기획을 통해 해킹 실태와 구조적 원인을 짚어보고, 제도적·정책적 대안을 모색한다.

[서울=뉴스핌] 한태희 기자 = 정보보호 투자 확대와 개인정보 유출 사실 개별 통지 의무화. 해킹 사고 예방 및 2차 피해를 최소화하기 위해 정치권이 꼽는 우선 추진 과제다. 국회에서는 관련 법 개정안 발의가 봇물처럼 이어지고 있다.

26일 국회입법조사처와 정치권에 따르면 국회는 해킹 사고 예방을 위해 SKT·KT 등 이동통신사와 카드사 등 금융사가 정보보호 투자를 늘리도록 유도해야 한다고 보고 있다. 이동통신사와 금융사 자율적인 판단에 맡기지 말고 법이나 관련 규정으로 강제해야 한다는 취지다.

[해킹공화국] 글싣는 순서

1. "보안 없는 AI 강국은 사상누각"…기업을 넘어 국가 안보 위기
2. SKT·KT·롯데카드…4월 이후 매달 해킹 사고
3. 창과 방패의 끝없는 전쟁…北·中 등 해킹에 韓 사이버 안보 '구멍'
4. 사모펀드 MBK식 경영 '도마 위'에…제2롯데카드 사태 우려
5. 보안 선진국들은 해킹에 어떻게 대처하나
6. 정보보호 투자 확대·개별통지 의무화…예방책 입법 과제
7. 해킹 피해 8할이 中企…"정부 지원만이 살길" 이구동성

◆ 정보통신망법 개정…정보보호 투자 확대 유도

국회는 전자금융감독규정을 참고해 '정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)'을 손봐야 할 필요가 있다고 보고 있다. 전자금융감독규정 제8조 6항은 '금융회사 또는 전자금융업자는 정보기술 및 정보보호 분야별 전문성을 갖춘 인력을 충분히 확보해야 한다'는 내용이다. 과거 해당 내용은 금융회사 또는 전자금융업자가 정보보호예산을 정보 기술 부문 예산 7% 이상 되도록 노력해야 한다는 의무 규정이었다. 다만 금융권 보안 역량 자율성 확보를 위해 현재와 같이 개정됐다.

국회에서도 관련 법 개정안이 다수 발의돼 본격적인 논의를 예고했다. 이훈기 더불어민주당(민주당) 국회의원은 ▲정보보호 최고책임자 임원급 지정 및 인력 관리·예산 편성권 부여 ▲정보보호위원회 설치 의무화 등을 담은 관련 법 개정안을 대표 발의했다. 조인철 민주당 국회의원도 이훈기 의원안과 비슷한 관련 법 개정안을 대표 발의했다.

강은수 국회입법조사처 입법조사관은 종전 금융감독규정을 참고해 전보통신망법을 고쳐야 한다고 제안했다. 정보호보호예산이 정보기술부문 예산 일정 비율 이상 되도록 해 정보보호 투자 확대를 유도하자는 취지다.

강은수 입법조사관은 "종전 전자금융감독규정을 참고해 정보통신망법에 정보보호 예산의 최수 투자 비율을 명시한다면 이동통신사 정보보호 투자 확대를 제도적으로 뒷받침할 수 있을 것으로 기대된다"고 말했다.

국내 기업은 외국 기업과 비교해 정보보호 투자에 인색하다. 한국인터넷진흥원(KISA) 정보보호 공시 종합 포털이 집계한 국내 773개 기업 2024년 총 정보기술부문 투자 대비 정보보호부문 투자 비중은 6.29%다. 미국 사이버 보안 예산 비중과 비교하면 절반 수준이다. 미국 보안 컨설팅 기관인 IANS 리서치에 따르면 미국 기업 정보기술(IT) 예산 중 보안 투자 비율은 13.2%다.

정보보호 및 개인정보보호 관리 체계(ISMS-P) 인증 관리·감독을 강화하는 방안도 해킹을 예방하는 주요 방안으로 꼽힌다. ISMS-P 인증을 받은 기업이 중대한 위법 행위로 해킹 사고가 발생했을 때 인증 취소와 같은 강한 처벌 규정을 두자는 것이다. 금융회사 또는 전자금융업자가 ISMS-P 인증을 받지 않으면 과징금을 부과하는 방안도 거론되고 있다.

특히 개인정보 관리 소홀로 인한 해킹 사고 발생 시 강한 처벌을 내려야 한다는 논의도 이어지고 있다. 이훈기 민주당 국회의원은 해킹 등으로 인한 개인정보 유출 사고에 대해서는 매출액 10%까지 과징금을 부과하는 내용을 담은 개인정보 보호법 개정안을 발의했다. 현재는 매출액 3% 이하만 과징금을 부과할 수 있다.

◆ 피싱 등 2차 피해 막아야…이용자에게 유출 사실 통지 의무화

해킹 사고 예방 못지않게 사고 발생 시 피싱 등 2차 피해가 발생하지 않도록 신속하게 조치하는 일도 중요하다. 개인정보 보호법에 따라 개인정보처리자는 사고 발생 사실을 인지하고 72시간 안에 피해자에게 유출된 개인정보 항목, 유출 시점과 경위, 유출로 인한 피해 최소화를 위한 조치 등을 안내해야 한다. 다만 피해자를 특정하기 어려운 경우 인터넷 홈페이지에 30일 이상 게시하는 것으로 대신할 수 있다.

박소영 국회입법조사처 입법조사관은 "유출 대상자가 특정되지 않는 경우 홈페이지 게시로 개별 통지를 갈음하도록 한 현행 제도는 정보 주체의 신속한 인지를 어렵게 한다"며 "최악의 시나리를 가정해 적극적으로 선제적인 조치를 취해야 한다"고 제안했다.

국회에서는 개인정보 보호법을 개정해 기업이 개인정보 유출 사실을 통지할 의무를 부과하려는 움직임이다. 민주당 김현·이해민·최민희 국회의의원 등이 개인정보 보호법 개정안을 다수 발의했다.

김현 의원은 "개별적 통지 없이 홈페이지에 간략한 안내만을 게시하는 경우 정보주체가 본인 개인정보 유출 여부를 신속히 파악하기 어렵게 하고 적절한 대응조치를 취할 기회를 놓치게 만들고 2차 피해나 금융사기 등의 추가적인 위험에 무방비로 노출될 우려가 큰 상황"이라며 말했다.

정명호 국회 정무위원회 수석전문위원은 이같은 개인정보 보호법 개정안에 대해 "개인정보 유출 범위가 명확하지 않더라도 잠재적 피해 가능성이 있는 정보주체를 선제적으로 보호하고 그 알 권리를 보장하기 위한 긍정적 취지로 보인다"고 설명했다.

ace@newspim.com