“해킹 숨기면 이득” 구조 바꿔야…증거보존·경영진 책임 강화 논의

지난해 통신사와 금융사, 플랫폼 기업에서 발생한 대형 침해사고에서 신고 지연, 서버 폐기, 조사 방해 논란이 잇따른 가운데, 국회에서 해킹 은폐를 막기 위한 법·제도 강화 논의가 본격화되고 있다. 이해민 조국혁신당 의원은 19일 국회의원회관에서 ‘해킹 은폐 제로: 고의적 해킹 은폐 구조 개선 토론회’를 열고, 로그 기록 등 디지털 증거 보존 의무와 기업 경영진 책임 강화 방안을 논의했다.

이날 토론회에서는 SK텔레콤, KT, LG유플러스, 쿠팡, 롯데카드 등 대형 침해사고 사례가 잇따라 거론됐다. 전문가들은 공통으로 “지금 법 구조에서는 투명하게 해킹 사고를 신고하고 협조하는 기업보다, 사고를 축소하거나 늦게 알리는 기업이 더 유리해 보일 수 있어 구조를 바꿔야 한다”고 입을 모았다. 이해민 의원은 환영사에서 “해킹 사고 뒤 가장 큰 문제는, 진단 자체가 제대로 이뤄지지 않는 구조”라며, “은폐가 문제 해결보다 더 유리한 것처럼 기업에게 작동하는 현실을 바꿔야 한다”고 강조했다.

증거 보존 없이는 원인 규명, 재발 방지어렵다

침해사고 대응의 출발점은 결국 기록이라는 점이 이날 토론회에서 핵심 쟁점으로 떠올랐다. 사고가 언제, 어디서, 어떤 경로로 발생했는지 확인할 수 있어야 원인을 규명하고 재발도 막을 수 있기 때문이다. 참석자들은 로그와 시스템 기록이 남지 않으면 조사와 피해 구제 모두 어려워진다고 봤다.

최경진 가천대학교 법학과 교수는 최근 침해사고를 개별 기업의 일탈보다 “누적된 구조적 위험이 폭발한 결과”로 봐야 한다고 짚었다. 특히 그는 “로그 기록과 각종 시스템 기록이 남아 있어야 사전 예방, 사후 분석, 회복탄력성 확보가 가능하다”고 강조했다. 인공지능(AI) 경쟁 시대에는 정보의 신뢰성이 국가 경쟁력과도 직결되는 만큼, 증거 보존 체계는 단순한 규제 항목이 아니라 신뢰 인프라로 봐야 한다는 설명이다.

최 교수는 다만 “모든 데이터를 무한정 보관하자는 접근은 현실적이지 않다”고 봤다. 어떤 로그를 얼마나 오래 남길지, 침해사고 조사와 피해 구제에 꼭 필요한 증거가 무엇인지 기술적·법적으로 합리적인 기준을 다시 설계해야 한다는 것이다.

또한 그는 “사고 책임을 실무 담당자 한 사람에게만 돌려서는 재발 방지를 기대하기 어렵다”며 “이사회와 경영진이 증거 보존 체계 구축을 직접 챙기는 구조로 가야 한다”고 했다. 이어 미국의 강한 컴플라이언스 체계를 예로 들며, “주요 의사결정과 기록이 남는 구조가 결국 책임 규명과 피해 구제에도 도움이 된다”고 설명했다.

유럽은 첫 보고 후 상시 모니터링증거 무단 폐기 땐 최대 170억원

해외는 해킹 사고를 인지한 뒤 얼마나 빨리 알리고, 어떤 정보를 추가로 갱신하며, 조사에 필요한 자료를 어떻게 남길지까지 비교적 촘촘하게 제도를 짜고 있다. 이에 국내도 사고를 완전히 파악한 뒤 보고하는 방식보다, 우선 신속하게 알리고 이후 내용을 보완하는 구조로 가야 한다는 의견이 나왔다.

해커인 독일 보안기업 GSMK 박신조 박사는 해외 사례를 통해 “한국의 해킹 문제를 더 이상 국내 문제로만 볼 수 없다”고 설명했다. 그는 “지난해 발생한 대형 침해사고가 해외 연구자들 사이에서도 큰 관심사”라며 “정작 사고 원인과 대응 과정은 충분히 공개되지 않아 한국에 대한 불신과 혼란을 키웠다”고 말했다. 특히, 그는 “LG유플러스 사례처럼 침해 원인과 규모 파악조차 어렵게 만드는 증거 파괴가 가장 큰 문제”라고 지적했다.

박 박사는 유럽연합(EU)의 네트워크·정보시스템 보안 지침(NIS2)을 대안으로 제시했다. NIS2는 침해사고 인지 뒤 24시간 안에 최초 보고, 72시간 안에 상세 보고, 1개월 안에 종료 보고를 요구한다. 중요 서비스 사업자가 보고를 누락하거나 지연하고, 조사에 필요한 정보를 무단 폐기하면 최대 1000만 유로(약 170억원)의 벌금이나 전 세계 매출의 최대 2%까지 제재할 수 있다. 그는 한국도 ‘최초 보고의 완결성’보다 ‘최초 보고의 속도’를 중시하는 방향으로 제도를 손봐야 한다고 말했다.

박 박사는 제재만으로는 한계가 있다고도 했다. 보안 사고를 투명하게 공개한 기업에는 신뢰 확보와 환경·사회·지배구조(ESG) 평가 측면의 이점을 주고, 중소기업에는 사이버 보험이나 세제 지원 같은 인센티브를 검토할 필요가 있다고 제안했다. 외부 연구자나 화이트해커가 취약점을 발견했을 때 안전하게 신고할 수 있도록 국제 표준에 맞는 연락 창구와 취약점 신고 보상제(버그 바운티)도 필요하다고 덧붙였다.

최현우 성신여대 교수는 지금의 제도가 “숨기면 과태료, 공개하면 기업 위기”로 읽힐 수 있다고 지적했다. 한석현 서울YMCA 실장은 “기업이 보안 투자보다 은폐 비용을 더 낮게 계산하는 구조를 바꾸려면 규제를 훨씬 강하게 하고, 공개와 피해 구제에는 실질적 보상이 따라야 한다”고 주장했다. 패널들은 “숨기면 더 큰 책임을 지고, 공개하면 보호받는 구조”를 만들어야 한다는 데 입을 모았다.

AI 생성 이미지

정부 규제 강화한 법안 통과…사고 기록 장기 보존은 추가 검토

정부도 침해사고의 증거 보존 필요성에는 공감했다. 다만 어느 수준의 로그를 얼마나 오래 남길지에 대해서는 추가 검토가 필요하다는 입장을 밝혔다. 최근 법 개정으로 제재 수위는 높였지만, 현장 상황에 따라 기록 보존 기준을 더 구체화하는 과제는 남아 있다는 설명이다.

김광연 한국인터넷진흥원(KISA) 위협분석단장은 현장의 조사 경험을 들어 “침해사고 조사는 인터뷰와 로그 분석에서 시작한다”며 “로그가 사라지면 분석 대상 자체가 없어지고, 조사 인력은 공격 시나리오를 다시 추정해야 한다”고 설명했다. 은폐가 있으면, 그만큼 시간과 인력이 더 들고, 다른 시스템 로그까지 함께 사라지면서 골든타임을 놓치게 된다는 설명이다. 또한 그는 “기업도 정부도 결국 정확한 원인을 찾지 못하게 된다는 점에서 증거 보존은 사업자 자신에게도 필요하다”고 강조했다.

임정규 과학기술정보통신부 정보보호네트워크정책실 국장은 정부도 문제의식에 공감한다고 밝혔다. 그는 “지난 3월 12일 통과된 ‘정보통신망 이용 촉진 및 정보 보호 등에 관한 법률(정보통신망법)’ 개정안에 최고정보보호책임자(CISO) 권한 강화, 정부의 직권 조사, 자료 보존 미이행에 대한 제재 강화, 반복·중대 침해사고 기업에 대한 매출 3% 상한 과징금 등이 담겼다”고 설명했다. 다만 그는 “사고 조사를 위해 어느 수준의 로그를 의무적으로 얼마나 남기게 할지는 해외 사례와 국내 현실을 함께 보며 추가로 검토하겠다”고 말했다.

이해민 의원은 “보안은 결국 거버넌스의 문제”라며 “입법부는 규제와 인센티브를 함께 설계하고 행정부는 보안 컨트롤타워를 분명히 세워야 한다”고 말했다. 이어 “기업 역시 보안을 비용이 아니라 투자로 받아들여야 하며, 은폐를 택하는 순간 더 큰 비용을 치르는 구조를 만들어야 한다”고 강조했다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network

일간 바이라인 구독하기

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.