SK텔레콤에 이어 KT와 LG유플러스까지 해킹 의혹이 나오면서 정보통신망법 개정에 대한 목소리가 커지고 있다. 침해 정황이 발견될 경우 정부가 기업의 침해 및 유출 사실을 들여다본다는 방침이다.
3일 업계에 따르면 국회 과학기술정보방송통신위원회는 이 같은 내용의 정보통신망법 개정안을 준비하는 것으로 알려졌다. 최민희 과방위 위원장(더불어민주당)은 침해사고 대응 실효성을 높이기 위해 해킹 정황이 발견될 경우 정부가 직접 기업을 조사할 수 있도록 권한을 부여하는 법 개정안을 준비 중이다.
현행 정보통신망법상 기업이 자진 신고를 하지 않는다면 과학기술정보통신부는 민관합동조사단을 구성할 수 없다.
최 위원장은 최근 해킹 전문지 프랙(Phrack)과 국내 전문가 분석을 통해 KT와 LG유플러스의 내부 자료가 해킹으로 유출된 사실이 확인됐다고 주장했다. 두 통신사는 자진신고를 거부해 제대로 된 조사가 진행되지 않았다고 지적했다. 양사 모두 과기정통부의 조사에 성실히 임하겠다는 입장이다. 그러나 KT의 경우 인증서(SSL 키) 유출 정황이 발견됐지만 현재는 유효 기간이 만료된 상태라 조사가 어려운 실정이다.
한 통신 업계 관계자는 “SK텔레콤은 자진신고를 한 후 1300억원 과징금 부과, 고객 보상안 등으로 기업 경영에 타격을 받았다”며 “KT와 LG유플러스는 자진 신고 시 법적 부담 때문에 동의하지 않았다는 것은 형평성에 어긋나는 것”이라고 지적했다.
이어 “이제는 개별 기업이 노력을 해도 해킹 사고는 피할 수 없기에 정보통신망법 개정으로 피해 사실을 공개해야만 대응도 함께 할 수 있다”며 “KT는 인증서(SSL 키) 유출 정황이 있음에도 유효 기간이 만료된 상태로 조사자체 불가능하기에 이런 사례를 없애야 한다”고 덧붙였다.
과기정통부는 한국인터넷진흥원(KISA)과 함께 양 통신사의 침해사고여부 확인을 위해 현장점검 및 관련 자료를 제출받아 정밀 포렌식 분석 중에 있다고 설명했다. 향후 침해사고가 확인되는 경우 투명하게 공개하겠다고 밝혔다.
박춘식 아주대 사이버보안학과 교수는 “우선적으로 기업이 해킹사고를 당했음에도 자진신고를 하지 않았다면 더 강력한 과징금 등 제재가 필요하다”며 “정부가 모든 기업을 조사하는 것은 서로 부담이기에 동일 업종, 규모 등 구체적인 기준이 필요할 것”이라고 조언했다.
이날 과방위 소속 최수진 국민의힘 의원도 과기정통부의 침해사고 대응 조사 권한과 자료 제출 의무를 강화하는 정보통신망법 일부개정안을 국회에 제출했다.
해킹사고, 강제 조사로 해결될 수 없어
연이은 해킹사고의 책임에서 정부도 자유롭지 않다는 지적이 나온다.
실제로 프랙 보고서를 보면 KT와 LG유플러스 뿐만 아니라 국방부와 외교부, 국군방첩사령부, 대검찰청 등을 겨냥해 북한 해커들의 피싱 공격이 이어졌다고 봤다. 특히 행안부 행정전자서명(GPKI) 인증서, 외교부 내부 메일 서버 소스코드, 통일부와 해양수산부의 ‘온나라’ 소스코드 및 내부망 인증 기록 등이 유출됐다.
또 현행 정보보호 및 개인정보보호 관리체계(ISMS‧ISMS-P) 인증 제도에 대한 실효성 문제도 대두된다. 금융보안원의 ISMS-P 인증서 발급 현황을 보면 7월 29일 기준으로 은행, 금융투자, 보험, 금융유관기관 등 126개 신청기관에 인증서를 발급했다.
롯데카드는 온‧오프라인의 개인 카드 결제 서비스(심사받지 않은 물리적 인프라 제외)에 대해 올해 7월29일 ISMS-P를 획득했다. 금융감독원에 따르면 롯데카드에 최초로 해킹 사고가 발생한 시점은 지난달 14일 오후 7시 21분이다. 인증서를 획득한 후 불과 2주 만에 해킹을 당한 셈이다.
올해 해킹사고가 발생한 SK텔레콤, GS리테일, 알바몬, YES24 등 기업은 모두 정부의 인증을 받은 상태였다. ISMS-P의 경우 기업이 일정한 관리적, 기술적 보호 조치를 갖추고 있음을 심사‧인증하는 제도이나 해킹사고를 막지는 못했다.
김승주 고려대 정보보호대학원 교수는 “프랙 보고서는 한국의 정보보호체계 전반이 위험하다고 지적하고 있으나 최 위원장은 개별 기업 문제로만 치부하고 있다”며 “일반 대중은 SK텔레콤 해킹사고에 이어 KT와 LG유플러스도 해킹 의혹이 있으니 기업에 대한 처벌만 강화하면 개인정보 유출을 막을 수 있다는 생각이 들게 한다”고 지적했다.
이어 “정보통신망법을 개선하는 것은 좋은 취지이나 기업 처벌 이전에 ISMS-P 인증체계 개편과 과기정통부, 개인정보위의 관리소홀 등 근본적인 사안을 개선해야 한다”고 말했다.
