"3000만원 벌금이 수천억 과징금보다 싸다"…해킹 은폐 부추기는 보안 제도

19일 국회의원회관 제7간담회실에서 열린 '해킹 은폐 제로 : 고의적 해킹 은폐 구조 개선 토론회'에서 참석자들이 기념촬영을 하고 있다. ⓒ데일리안 조인영 기자

"(사이버 침해 사고 발생 당시) SK텔레콤은 괜히 신고했다고 생각할 것이다. 3000만원(과태료)만 내면 막을 것을 괜히 신고해 과징금을 엄청나게 맞을 이유가 없지 않나."

현행 제도가 기업들로 하여금 해킹 사고를 숨기도록 유도하고 있다는 지적이 나왔다. 많게는 수천억원에 이를 수 있는 손해배상 비용과 과징금을 피하기 위해 기업들이 사고 규모를 축소하거나 공개를 최대한 미루는 은폐를 선택하고 있다는 진단이다.

"투명성보다 은폐가 이득"… 뒤처진 국내 보안 체계

19일 국회의원회관 제7간담회실에서 열린 '해킹 은폐 제로 : 고의적 해킹 은폐 구조 개선 토론회'에서 전문가들은 "현재의 구조에서는 기업이 투명성을 선택하기 어렵다"고 진단하며 실효성 있는 디지털 증거 보존 제도 정립이 시급하다고 주장했다.

최현우 성신여자대학교 융합보안공학과 교수는 유럽의 NIS2 지침을 예로 들며 해외 주요국들은 정보 보고 위반 시 대폭 강화한 글로벌 처벌 수위를 적용하고 있다고 설명했다.

그는 "유럽연합은 침해사고 발생 시 24시간 이내 초기 통보와 72시간 이내 상세 보고를 요구하고 있으며 위반 시 기업 매출의 최대 2% 또는 1000만 유로 수준의 과징금을 부과할 수 있도록 한다"고 말했다. 특히 독일은 사이버보안 관리 책임을 기업 경영진 수준으로 격상했다는 설명이다.

반면 한국은 침해사고 이후 디지털 포렌식 자료를 일정 기간 보존해야 할 명확한 법적 의무가 충분히 규정돼있지 않다.

이에 최 교수는 ▲침해사고 신고 의무의 실효성을 높이기 위한 제재 체계 강화 ▲서버 로그와 시스템 기록 등 디지털 포렌식 자료 보존 의무의 명확화 ▲고의적인 증거 삭제 행위에 대한 강력한 법적 책임 부과 ▲기업 경영진 차원의 사이버보안 책임 강화 등의 제도 개선이 이뤄져야 한다고 주장했다.

한석현 서울 YMCA 실장은 LG유플러스의 가입자식별번호(IMSI)에 고객 전화번호가 그대로 연동되는 문제를 사례로 들며 관련 법을 강화해야 한다고 주장했다. 경영진 형사처벌까지 제재 수위를 높여야 기업이 경각심을 갖고 대응할 수 있다는 지적이다.

아울러 사고 은폐의 실익보다 ‘은폐 발각 시 손실’이 크도록 제도적 유인 구조를 개편하고 정보주체인 이용자의 ‘알 권리’와 ‘자기정보 통제권’도 실질적으로 보장해야 한다고 덧붙였다.

"로그 사라지면 분석 불가"… 골든타임 놓치는 기업들

전문가들은 잇따른 기업 개인정보 유출 사고에 효과적으로 대응하기 위해 일관성 있는 증거 보존 체계 정립을 대안으로 제시했다.

최경진 가천대학교 교수(인공지능·빅데이터 정책연구센터장)는 '고의적 침해사고 은폐 구조 개선 방안' 발제를 통해 "기본적으로 정보의 중요성을 인식하고 보호하려면 모든 라이프사이클의 구조적 위험을 없애기 위한 체계가 필요하다"며 "이를 뒷받침하기 위해 정보 유지가 필요하다"고 설명했다.

그는 특히 기업이 자료 보관이 필요한 데이터를 임의로 삭제해 위법 행위 입증과 사고 원인 조사를 어렵게 만들고 있다고 비판했다. 이는 근본적으로 데이터 보관에 대한 제도가 제대로 마련돼있지 않은 것이 원인이라고 했다.

최 교수는 "침해 사고 관련 주요 증거 보존 여부를 신중하게 논의해야 한다. 사후 책임 뿐 아니라 기업이 또다시 해킹 피해 대상이 되지 않도록 예방책의 관점에서도 증거 보전 노력이 법적으로 뒷받침돼야 한다"고 강조했다.

(자료 :최경진 가천대학교 교수)ⓒ이해민 의원실

현행법상 증거 보전과 관련해 접속 기록 자료 보전 요구를 과기부 장관이 할 수 있으며 이를 위반할 경우 징역 또는 벌금이 부과된다. 자료 보전 명령이 있는 증거를 폐기할 경우 정보통신망법상 자료 보전 명령 위반이 된다.

다만 최 교수는 업무 담당자만 처벌하는 경향은 탈피해야 한다고 지적했다. 그는 "구조적으로 정보 보전이 잘되도록 하는 것이 핵심"이라며 "정보 보안 침해 사고가 또 다시 발생되지 않도록 재발방지를 하고, 국민들이 정보 유출로 인한 피해 구제 받고자 할 때 증거로 활용되도록 하는 것이 중요하다"고 말했다.

이를 위해서는 이사회 등 기업 최고 책임자가 관심을 가져야 하고 기업 단위에서 움직여야 한다고 말했다. AI 시대에는 해킹의 복잡도와 정교함이 고도화될 것으로 예상되는 만큼 대비가 필요하다고 덧붙였다.

독일 보안기업 GSMK 소속 박신조 박사도 'EU NIS2(네트워크 및 정보 시스템 지침 2)와 독일 지침에서 알아보는 사이버 보안 투명성 강화' 발제에서 사이버 침해 사고에 대해 "침해 원인이나 규모 파악조차 어려운 증거 파괴가 일어나는 일이 가장 큰 문제"라고 지적했다.

박 박사에 따르면 KT는 2024년 악성코드 감염 서버 발견에도 KISA에 신고하지 않았으며 2025년 7월 해킹 의혹 통보에도 서버 일부를 폐기했으며 LG유플러스는 KISA와 과기정통부 안내에도 침해 정황을 부인하고 OS를 재설치하는 등 은폐 작업을 벌였다.

그는 해외처럼 기업이 국민에게 영향을 줄 수 있는 정보를 투명하게 공개하도록 해야 한다고 주장했다. 일례로 독일은 개인정보 유출을 연방개인정보보호위원회(BfDI) 및 각 주별 개인정보보호위원회에 보고해야 하며 침해 사고 인지 이후 24시간 내 사고 발생 사실과 사고 개요를 밝혀야 한다. 인지 이후 72시간 내에는 최초 보고 이후 취한 조치, 공격이 발생한 원인, 예상되는 보안 취약점 등을 제공해야 한다.

(자료 :최경진 가천대학교 교수)ⓒ이해민 의원실

담당 기구인 NIS2는 절차 미이행 시 고액의 벌금 부과를 할 수 있다. 책임자 연락이 되지 않는 것만으로도 최대 1억7000만원의 벌금 부과가 가능하며 사고 조사를 위한 정보 무단 폐기, 고객 미통보 시 170억원을 부과할 수 있다. 매출이 일정 액수 이상이라면 전 세계 매출의 최대 2%까지 부과가 가능하다.

NIS2가 기업이 거짓으로 보고하거나 정보를 고의적으로 누락시키는 행위 모두 해킹 사건을 보고하지 않은 것과 같은 것으로 취급하고 강력히 처벌하는 것과 달리 한국 정보통신망법에는 처벌 조항이 없다는 지적이다.

박 박사는 "우리나라 시행령상으로는 최초 보고 목적이나 범위가 구체적으로 정의되지 않았다"면서 "최초 보고를 간략하게 하고 72시간 내, 혹은 KISA 별도 자료 요청 시 추가 보고가 가능했다면 침해 대응 절차가 더 빠르게 시작됐을 것"이라고 지적했다.

처벌 조항 부담으로 기업이 사고 정보 제공을 꺼릴 수 있다는 우려도 있다. 이를 위해 독일 중소기업의 25%는 사이버 보험에 가입하고 있다고 박 박사는 설명했다. 사이버 보험 활성화 외에 대안으로 그는 중소기업 대상 지원, 화이트 해커 활동의 법적 문제 해결 및 금전 지원 등을 제시했다.

이어진 토론회에서 김광연 한국인터넷진흥원 디지털위협대응본부 위협분석단장은 "피해 시스템의 로그가 소실될 경우 분석 대상이 없어진다. 분석가들은 공격자가 어떻게 접근했는지 여러 시나리오를 개발할 수 밖에 없고 그렇게 되면 인력과 시간은 더 소요된다"고 지적했다.

대응에 제약이 생기면서 다른 시스템까지 로그가 소멸되고 분석 골든 타임을 놓치는 최악의 상황이 발생할 수 있다는 지적이다. 다만 "지난해 여러 사고를 계기로 기업들이 협조적으로 변화하고 있으며 개정안도 발의돼 개선될 것으로 기대한다"고 덧붙였다.

임정규 과학기술정보통신부 정보보호네트워크정책실 국장은 정부 대안이 보다 강화됐다고 강조했다. 그는 "최근 정보통신망법 개정안이 통과되면서 CISO 권한 및 책임 강화, 정보보호관리체계 심사 강화, 침해 정황 발견 시 정부 조사 등이 강화됐다"고 설명했다.

임 국장은 "조사가 남용되지 않도록 침해사고조사위가라는 견제 장치도 마련됐으며 신고의무 위반에 대한 과태료, 자료보전 불이행 시 제재 강화, 이행강제금 부과하는 제도도 생겼다. 반복 사고에 대해서는 매출액의 3%(상한)까지 과징금을 부과할 수 있다"고 강조했다.