과태료 3000만원vs과징금 수천억…해킹 은폐 부추기는 역설

▲19일 국회 의원회관에서 진행된 '해킹 은폐 제로: 고의적 해킹 은폐 구조 개선 토론회’에서 이해민 조국혁신당 의원이 발언하고 있다. 김연진 기자 yeonjin@

숨기면 과태료, 공개하면 기업 위기

19일 국회 의원회관에서 진행된 ‘해킹 은폐 제로: 고의적 해킹 은폐 구조 개선 토론회’에서 최현우 성신여대 융합보안공학과 교수는 대규모 해킹 사태가 발생했을 때 기업이 사고를 축소·은폐하는 이유에 대해 이같이 말했다.

우리나라 정보통신망법은 침해사고 발생 시 신고 의무를 규정하고 있으며 이를 이행하지 않을 경우 3000만원 이하의 과태료를 부과한다. 침해사고를 공개할 경우 발생하는 리스크는 평판 하락, 이용자 이탈, 주가 하락, 집단 소송 가능성, 막대한 과징금 및 손해배상 비용 등이다. 신고 지연에 따른 과태료보다 훨씬 크기 때문에 기업에게 사고 축소가 합리적인 선택이 될 수밖에 없다는 지적이다.

이번 토론회는 대규모 통신·플랫폼 기업에서 잇따라 발생한 해킹 사고 증거인멸 문제의 제도적 해법을 모색하기 위해 마련됐다. KT는 해킹 감염 서버를 임의 폐기한 의혹으로 조사를 받고 있다. LG유플러스는 서버 운영 체제를 재설치해 포렌식 조사를 불가능하게 만들었다. 과학기술정보통신부는 LG유플러스를 ‘위계에 의한 공무집행 방해’로 경찰에 수사를 의뢰했다.

토론회를 개최한 이해민 조국혁신당 의원은 “해킹 사고가 발생했을 때 문제를 먼저 정의해야 해결책을 모색할 수 있는데 최근 1년 동안 발생한 사태에서 문제 진단부터가 제대로 안 되고 있다”며 “해킹 은폐가 해결책을 찾는 것보다 싼 구조이기 때문”이라고 말했다.

전문가들은 침해 사고 은폐를 막기 위한 체계 강화뿐만 아니라 기업이 자발적으로 공개할 수 있는 인센티브를 마련해야 한다고 입을 모았다. 최현우 교수는 “네트워크 및 정보 시스템의 보안에 관한 지침(NIS2)은 침해 사고 발생 시 24시간 이내에 초기 통보, 72시간 이내에 상세 보고를 요구한다”며 “이를 위반할 경우 기업 매출의 최대 2% 혹은 1000만 유로 수준의 과징금을 부과한다”고 밝혔다.

유럽은 NIS2를 통해 단순히 보안 책임자가 연락되지 않는 경우에도 최대 10만 유로(약 1억7000만원)의 벌금을 부과할 수 있다. 중요 통신 서비스를 운영하는 경우 사고 조사를 위한 정보를 무단으로 폐기하거나 고객에게 제대로 통보하지 않으면 최대 1000만 유로(약 170억원)를 부과할 수 있다.

박신조 GSMK(독일 보안기업) 박사도 “사이버 보안에서는 속도가 중요하다”며 “NIS2를 참고해 신고 의무를 신속히 이행하지 않을 경우 강력한 처벌이 가능하도록 개정할 필요가 있다”고 말했다. 이어 “2024년 기준 독일 중소기업의 25%는 사이버 보험에 가입돼 있다”며 “NIS2의 처벌 조항이 강력하기 때문인데 사이버 보험료에 대한 세액 공제가 이뤄지는 등 중소기업을 위한 인센티브도 있다”고 설명했다.

최경진 가천대 법학과 교수(인공지능법학회장)는 “증거를 인멸하거나 자료 보존을 제대로 하지 않는 기업이 과징금 혜택을 보는 사태는 없어야 한다”며 “침해 사고 예방 및 회복력 확보를 위해선 증거 보존 체계를 정립해야 한다”고 말했다.

최 교수는 미국의 ‘사베인스-옥슬리법’으로 컴플라이언스 체계가 강화됐다고 언급하며 “기업의 주요 의사 결정 자료와 회의록 등이 법적으로 보존되며 문제가 생길 때 증거로 활용된다”고 했다. 우리나라에서도 보존해야 하는 정보의 범위와 기간, 대상, 방법 등에 대한 적절한 가이드라인을 마련하고 증거 보존 과정에서의 투명성과 안전성 확보 조치를 고민해야 한다고 강조했다.

한편, 이번 토론회에는 최경진 교수, 최현우 교수, 박신조 박사를 비롯해 임정규 과학기술정보통신부 정보보호네트워크정책실 국장, 김광연 한국인터넷진흥원 위협분석단장, 한석현 서울 YMCA 실장 등이 참여했다.