해킹사고 늑장·미신고 1년간 66건…정부, 제재 수위 높이고 선제조사

초대형 해킹 사태가 연달아 터지고 있지만 늑장 신고를 하거나 아예 신고를 안하는 기업도 여전히 많은 것으로 나타났다. 정부가 '늑장·미신고' 행태에 대해 제재 수위를 강화하고 선제조사를 하는 방안에 착수했다. 다만 전문가들은 해킹 취약기업에 대해 주요 기관이 징벌적 대응으로만 나서면 기업 활동이 위축될 수 있다고 조언했다.

21일 이해민 조국혁신당 의원이 한국인터넷진흥원(KISA)에서 받은 자료에 따르면 지난 1년간 늑장·미신고는 66건으로 집계됐다. 일부 기업은 사고 인지 후 1년이 지나서야 신고를 마쳤다. 관련법상 기업은 해킹과 랜섬웨어 등 침해사고를 인지하면 24시간 안에 신고해야 하며 이를 안 지키면 최대 3000만원 과태료가 부과된다. 전문가들은 대규모 고객정보 유출이나 수백억원대 피해가 발생하더라도 기업 입장에서 '늦게 신고하고 3000만원만 내도 된다'는 계산이 작동할 수 있다고 경고한다.

현행법상 기업이 해킹 신고를 하지 않으면 정부가 관련 조사에 착수할 수 없다는 한계도 문제로 꼽힌다. 침해사고 기업이 KISA 기술지원 거부 시 현장 출입이나 서버 점검이 불가능한 구조다. 올해 상반기 침해사고를 신고한 기업 중 KISA 지원을 요청한 기업은 절반을 밑돌았다. 배경훈 과학기술정보통신부 장관은 지난 12일 기자간담회에서 "신고 이후에 조사할 수 있는 체계를 바꾸기 위해 국회와 논의 중"이라고 말했다.

KT 무단 소액결제 사태와 추가 서버 침해사고가 대표적이다. 소액결제 최초 피해는 지난달 5일 발생했다. 이후 20일까지 한 자릿수를 유지하던 피해건수는 21일을 기점으로 대폭 늘었다. 이에 지난 1일 경찰이 KT에 관련 사실을 알렸지만, KT는 나흘 뒤 5일 비정상 결제를 차단하고 8일 정부에 침해사고를 신고했다. 황정아 더불어민주당 의원은 "8월부터 이상 신호가 있었는데 KT의 축소·은폐 시도로 피해가 막대해졌다"고 비판했다.

KT는 "당시 일반적인 스미싱 가능성이 크다고 판단해 즉각 대응하지 않았다"고 해명했다.

결국 지난 19일 과기정통부는 '해킹대응을 위한 과기정통부-금융위 합동 브리핑'에서 정부의 선제조사 가능성을 시사했다. 류제명 과기정통부 2차관은 "기업들이 고의적으로 침해사고 사실을 지연해 신고하거나 미신고할 경우 과태료 처분을 강화하고, 해킹 정황을 확보한 경우에는 기업의 신고 없이도 정부가 철저히 조사할 수 있도록 제도를 개선하겠다"고 발표했다.

psh@fnnews.com 박성현 기자