SBS Biz

[IT 보안사고 (PG) (사진=연합뉴스)]

최근 KT나 LGU+, 쿠팡 등기업들이 대규모 해킹을 당하고도 서버를 무단 폐기하거나 접속 기록을 삭제하는 등 정부 조사를 방해하는 일이 잇따르면서 이에 대한 대책을 모색하기 위한 토론회가 열렸습니다.



국회 과학기술정보방송통신위원회 소속 이해민 조국혁신당 의원은 오늘(19일) 오전 10시 국회 의원회관에서 '해킹 은폐 제로 : 고의적 해킹 은폐 구조 개선 토론회'를 개최했다고 밝혔습니다.

이 의원은 "현행 제도는 해킹 사실을 투명하게 공개했을 때 치러야 할 비용보다, 증거를 지우고 버텼을 때 부과되는 과태료가 훨씬 저렴한 기형적 구조"라면서, "기업의 해킹 은폐 유인을 원천 차단하기 위한 징벌적 손해배상, 디스커버리 제도(증거개시제), 집단소송제 도입이 필요하다"고 강조했습니다.

토론회에 참석한 전문가들 역시 현행 솜방망이 처벌을 비판하며 강력한 입법의 필요성에 한목소리를 냈습니다.

발제와 좌장을 맡은 최경진 가천대학교 교수는 "기업들이 침해사고를 숨기거나 축소하는 핵심 원인은 일관성 있는 디지털 증거 보존 체계와 강력한 제재가 부재하기 때문"이라고 지적하며, '합리적인 증거 보존 체계'의 법제화를 강조했습니다.



독일 보안기업 GSMK의 박신조 박사는 "증거 인멸은 당장의 책임은 면할지 몰라도, 결국 문제를 정확히 진단할 가능성을 짓밟는 행위"라고 강도 높게 비판했습니다. 이어 "우리나라도 폐쇄적인 '정보 단절'에서 벗어나, 투명한 정보 공유를 통해 국제 사이버 보안 논의의 주도권을 쥐어야 한다"고 말했습니다.

이어지는 토론에서 최현우 성신여대 교수 역시 투명한 신고와 은폐 기회 비용이 역전된 현재의 구조를 지적하며 "기업의 도덕성에만 기댈 것이 아니라, 투명하게 사고를 공개하고 협조할 때 오히려 법적으로 보호받을 수 있도록 제도의 인센티브를 전면 재설계해야 한다"고 말했습니다.

한편 서울 YMCA 한석현 실장은 최근 논란이 된 LG유플러스의 가입자 식별번호(IMSI) 설계 허점과 관련해 "유심 무상교체가 진행되는 4월13일까지는 신규 가입자가 보안이 취약한 유심을 그대로 발급받아야 한다. 그때까지 신규 가입을 중단해야한다"고 주장했습니다.

정부 측 패널로 참석한 과학기술정보통신부 임정규 국장은 "로그 기록 장기 보관 의무화 등은 해외 사례를 참고해 검토하겠다"고 말했습니다.

한국인터넷진흥원 김광연 단장은 "해킹 사고 분석은 로그 분석에서 시작하지만, 기업의 은폐로 초기 분석 대상이 사라지면 훨씬 더 다양한 공격 시나리오를 가정해야만 한다"고 토로했습니다. 이어 "이로 인해 불필요한 시간과 인력이 소모되어 골든타임을 놓치게 되는 것이 가장 큰 문제"라고 짚었습니다.