같은 해킹 사고인데 침해·유출 신고는 따로? ‘제도 개선 필요‘

By곽중희

동시다발하는 침해·정보 유출…신고에 혼선 
KISA “신고에 의존하는 구조는 한계 있어, 직접 조사권 필요“

국내를 노린 랜섬웨어와 서버 해킹 등 사이버 공격이 늘어나고 있지만, 하나의 기업에서 발생한 같은 사고도 침해사고와 개인정보 유출 신고 체계가 따로 운영돼 현장에서는 혼선이 반복되고 있다. 실제로 침해사고가 곧바로 개인정보 유출로 이어지는 경우가 많지만, 두 신고를 모두 접수하는 한국인터넷진흥원(KISA)은 직권 조사 권한이 없어 신속한 대응에 한계가 있다. 이에 통합 대응 체계 마련과 직권 조사 권한이 필요하다는 목소리가 나오고 있다.

동일 사고도 침해·유출 따로 신고, 현장은 혼선

침해사고가 늘어나면서 지난해 8월 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)‘이 개정됐다. 가장 큰 변화는 침해사고의 신고 시점이다. 그동안 법에 규정된 ‘즉시 신고’라는 표현은 해석에 따라 달라 기업이 신고를 미루거나 누락하는 빌미가 됐다. 이에 개정 후에는 침해사고 인지 후 24시간 이내 최초 신고가 의무화됐다.

사고 인지 주체도 확대됐다. 예전에는 대표이사가 공식 보고를 받아야 신고 의무가 발생했지만, 이제는 보안담당자·부서장·최고정보보호책임자(CISO) 등 관계자 누구라도 사실을 알게 된 시점부터 24시간 내 신고해야 한다. 불완전한 정보라 해도 우선 신고한 뒤, 이후 확인된 내용을 24시간 내 보완 신고하는 절차가 마련됐다. 아울러, 기업이 미온적으로 대응하지 못하도록 재발방지 이행 점검도 강화됐다. 과거에는 권고 수준이었지만 이제는 분기마다 확인하고 미이행 시 과태료를 부과할 수 있다.

침해사고와 달리, 개인정보 유출 사고는 ‘개인정보 보호법(PIPA)‘에 따라 72시간 내 개인정보보호위원회(이하 개인정보위)에 신고해야 한다. 여기서 혼선이 빚어진다. 동일한 사고라도 침해와 유출이 동시에 발생하면 기업은 서로 다른 기관에 각각에 맞는 기한에 맞춰 신고해야 한다. 이 때문에 현장에서는 실제 어떤 시점을 ‘사고 인지’로 볼 것인지 모호하다는 지적도 나온다. ▲홈페이지 관리업체의 확인 ▲내부 보안팀 리포트 ▲고객센터 민원 ▲다크웹 정보 발견 등 다양한 경우가 모두 인지 시점으로 인정되기 때문이다.

박용규 한국인터넷진흥원(KISA) 위협분석단장 (사진=KISA 제공)

박용규 KISA 위협분석단장은 “홈페이지 관리업체가 해킹을 확인했을 때, 내부 보안팀이 보고서를 올렸을 때, 고객의 개인정보 유출 민원이 들어왔을 때 등 어느 시점을 사고 인지로 봐야 하는지가 여전히 애매하다”며 “침해와 유출 신고를 통합 창구에서 받아도 뒤로 가면 부처별로 나뉘다 보니 현장에서 혼선이 반복된다”고 설명했다.

자발적 신고 없으면 대응도 못해, ‘직권 조사 권한‘ 필요

신고 체계의 혼선 외에도, 기업의 자발적인 신고가 있어야만 조사가 가능하다는 점도 제도적 한계로 꼽힌다. 다크웹에 고객정보가 대량으로 유출된 정황이 뚜렷해도, 기업이 “협박 메일을 받은 적이 없다”거나 “사실관계를 확인 중”이라며 신고를 하지 않으면 KISA와 해당 부처는 직권으로 움직일 수 없다. KISA는 이런 이유로 실제 피해가 발생해도 대응이 늦어지는 경우가 반복되고 있다고 설명했다.

박용규 단장은 “신고가 있어야만 포렌식 조사, 악성코드 분석, 취약점 점검 같은 대응이 가능하다”며 “그러나 침해와 유출 신고 창구가 나뉘어 있어 기업 절차가 복잡하고, (KISA도) 직권 조사 권한이 없어 대응에 한계가 있다. 통합된 신고 체계와 법적 권한 강화가 필요하다”고 강조했다.

차윤호 KISA 개인정보조사단장은 “개인정보 유출 정황이 있어도 기업이 신고하지 않으면 개인정보위가 곧바로 조사에 착수할 수 없다”며 “현행 체계로는 한계가 분명하다. 직권 조사권 같은 제도 개선 논의가 필요해 보인다”고 말했다.

한편, 이 문제는 국회에서도 거론되고 있다. 차윤호 단장은 ”최근 SKT 개인정보 유출 사태 제재안을 두고 정보통신망법과 PIPA 주무 부처가 달라 제재가 겹친다는 문제가 제기된 것으로 알고 있다”며 ”사고가 발생하면 신고뿐 아니라 제재 권한까지 이원화되기 때문에, 정보통신망법 차원에서도 기업 책임을 더 강하게 물려야 한다는 의견도 나오고 있다”고 덧붙였다.

글. 바이라인네트워크
<곽중희 기자>god8889@byline.network

사람을 위한 보안을 취재합니다. 끝까지 배우며 글로 나아가겠습니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.