[비즈한국] 최근 잇달아 발생한 해킹 사고로 관련 피해가 확산하면서 정부가 보안체계 전면 재검토에 나섰다. 해킹 정황이 확인되면 기업 신고 없이 직권조사를 할 수 있도록 하고 징벌적 과징금을 적용하는 방안도 추진한다. 다만 정부 스스로도 ‘메스’를 대야 한다는 지적이 나온다. 정부의 관리 공백과 미흡한 공조 체계도 해킹 사고의 배경 중 하나라는 시각이다.
최근 5년간 국방부, 국토교통부, 개인정보보호위원회 등 5개 정부부처에서만 개인정보 유출이 3만 8000여 건 확인되는 등 정부도 유출 사고로부터 자유롭지 않다. 해킹 사고를 기업 리스크가 아닌 국가적 위기 상황으로 보고, 사이버 보안에 대한 전면적인 쇄신을 시작해야 한다는 목소리가 커지는 이유다.
#정부의 미숙한 대응 어디서 드러났나
정보 보안 관련 정부의 역할은 ‘보안 인증제도’와 같은 사전 관리와 ‘침해 사고 조사 및 제재’를 통한 사후 대응이라는 두 축으로 나뉜다. 지난 4월 SK텔레콤 해킹 사태 이후 매달 반복된 대규모 정보 유출 사건들은 정부의 사전 예방과 사후 대응 체계 모두에 허점이 있다는 사실을 보여줬다.
SK텔레콤과 예스24, 롯데카드, KT 등 최근 해킹 사고가 발생한 기업들은 모두 국내 최고 수준의 보안인증 ‘ISMS-P(정보보호 및 개인정보보호 관리체계 인증)’을 받은 기업들이다. 이 중 롯데카드는 서버 해킹 발생 이틀 전 금융보안원으로부터 이 인증을 획득했다. 사이버 침해 위협에 효과적으로 대응할 역량을 갖췄다고 인정받은 것이다. 금융권이 아닌 대부분의 기업과 기관은 한국인터넷진흥원(KISA)을 통해 ISMS-P 인증을 받는다.
정부가 정보통신망의 안전성을 보장하기 위해 도입한 이 보안인증은 실제로는 최소한의 기준만을 충족하는 형식적인 제도라는 게 업계 시각이다. 기업 대상 모의해킹과 침투테스트 등을 수행하는 국내 보안컨설팅 업계 관계자는 “ISMS-P는 일정 시점에서 필수적인 보안 요건들을 지켰는지 확인해주는 기준점일 뿐, 시스템의 절대적인 안전을 보장하는 건 아니다. 기업이 지속적으로 관리·운영하면서 새로운 위협에 대응해야 한다”고 말했다.
사후 대응의 구멍도 여실히 드러났다. 무단 소액결제 사건을 수습하던 KT는 지난 18일, 앞서 4개월간 진행한 보안 점검 결과 확인하고 서버 침해 정황 6건을 KISA에 신고했다. 과학기술정보통신부는 SK텔레콤 해킹사고 이후 민관합동조사단을 꾸리고 통신사와 주요 플랫폼사 대상 보안 상황을 점검한 바 있다. 당시 과기정통부의 발표는 “특이사항이 발견되지 않았다”였다.
류제명 과기정통부 2차관은 19일 합동 브리핑에서 부실점검 논란에 대해 “KT와 LG유플러스에서는 SK텔레콤에서 발견된 악성코드가 발견되지 않았다는 점을 확인한 것”이라며 “나름대로 강도 있는 조사를 했지만 (보안 상태 전반을) 전면적으로 조사할 물리적 여건, 상황이 안 됐다”고 설명했다.
초기 대응 지연과 되풀이되는 은폐 의혹 역시 미흡한 정부 대응을 드러내는 지점이다. 현행법은 피해 기업·기관이 자진 신고해야만 조사가 가능하다. 사고 이후 정부 ‘권고’ 등의 조치가 구속력이 없는 점도 한계가 두드러진다. 정부는 SK텔레콤에 해킹 사고 피해 발생 시 100% 책임보상 방안을 마련하고, 위약금 면제 대상을 확대하라고 권고했지만 회사는 이를 따르지 않았다.
#“인증 제도 재정비, 컨트롤타워 구축 필요”
KT 무단 소액결제 사건 범행 수법으로 지목된 ‘펨토셀(초소형 이동통신기지국)’은 현행 정보보호관리체계에서 빠져 있었다는 점이 드러나면서 사전 인증 제도의 재정비 필요성이 부각된다.
구글 출신 국회 과학기술정보방송통신위원회 소속 이해민 의원은 “지금의 인증 제도는 오히려 기업에 면죄부를 주고 있다는 의문이 든다”며 “보안인증 체계를 현실에 맞게 전면 개편해야 하고, 최소한 해킹 사고에 대해서는 기업의 책임 있는 해결을 위해 징벌적 손해배상 제도까지도 검토해야 한다”고 강조했다.
앞서의 보안업계 관계자는 “현재의 ISMS 인증처럼 보편 적용하기에는 어려움이 있지만 기업의 실제 방어 능력을 평가할 수 있도록 현실적인 위협에 맞게 강화할 필요는 있다”며 “인증 획득 후에도 정기적으로 취약점 점검 결과를 제출하거나 일정 수준 이상의 보안 인력과 예산을 확보하도록 해 지속적인 보안 관리를 유도해야 한다”고 봤다.
정부는 서둘러 대책 마련에 나섰다. 해킹 정황만으로 정부가 직권조사에 착수할 수 있도록 정보통신망법 개정 등 조사 권한 확대를 추진하고, 개인정보를 대량 보유한 기업·기관의 보안 의무를 강화한다. 보안 의무를 위반하면 징벌적 성격의 과징금을 적용해 사고 대응력을 높인다는 방침이다. 검토 중인 개정안에는 ‘침해 사고 조사심의위원회’를 설치해 중대한 사안일 경우 전문가 심의를 거쳐 직권조사가 가능하도록 하는 방안이 담긴다.
전문가와 국회 모두 정부의 책임과 역할을 강조한다. 일련의 보안 사고가 비단 기업만의 문제가 아니라, 국가 차원의 정책적 과제라는 인식이 부각되고 있다.
특히 기존의 ‘망 분리(모든 업무용 PC가 인터넷과 단절돼 있도록 하는 개념)’ 원칙이 약화되고 있는 한국의 보안 환경을 고려해 새로운 보안 패러다임이 요구된다는 지적이 제기됐다.
지난 24일 국회 과방위 해킹사태 청문회에 참고인으로 출석한 김승주 고려대 정보보호대학원 교수는 “코로나19 시점 변화가 시작됐고 이후 AI 정책들이 도입되면서 연결이 확대됐다”며 “망을 전부 끊어놓은 상태였던 내부망 시스템들은 ‘무균실’과 같은 상태였는데 (사이버 침해가) 일시에 들어오면서 속절없이 무너지고 있다”고 설명했다. 김 교수는 “조기 탐지, 취약점 선제 방어, 피해 발생 시 무력화·차단하는 체계를 기초로 사이버 안보를 다져야 한다”고 했다.
부처 간 ‘칸막이’식 대응을 벗어나, 컨트롤타워를 통해 종합 대응의 필요성도 거론된다. 국내 금융사의 정보 유출 사건은 금융위원회 고시에 따라 금융보안원이 관리하는 반면, 그 외 산업군에서 발생한 사고는 정보통신망법과 정보보호산업법 등에 따라 과학기술정보통신부 산하 KISA가 담당한다. 해킹 피해가 분야 구분 없이 나타나는 만큼 일원화한 관리·감독 체계가 구축돼야 한다는 평가다.
장항배 중앙대 산업보안학과 교수는 “금융보안원, KISA, 국정원 등이 각 분야를 담당하고 국가안보실이 총괄하는 형식적 체계는 갖춰져 있지만 현실적으로 조직 규모, 기동성 면에서 한계가 있는 데다 협의회 형식으로 나눠져 있어 대응력이 떨어지는 게 사실이다. 국무조정실 기능처럼 보안 영역에서도 실질적인 컨트롤타워를 통해 의사결정이 이뤄진다면 제대로 작동할 수 있을 것”이라고 설명했다.
강은경 기자
gong@bizhankook.com[핫클릭]
·
"체불·산재·괴롭힘 없는 회사" 정부 '착한 기업 인증제' 실효성은?
·
[비즈피플] 구글과 손잡은 뤼튼, 이세영 대표 '생활형 AI' 도전 주목
·
"정부 땅 관리했을 뿐, 오염 정화책임 없다" 캠코, 인천 연수구 상대 소송 승소
·
[시승기] 그랑 콜레오스, 가족과 연인을 위한 달리는 라운지
·
제약사 최대주주 된 컨설팅업체, 과연 경영 능력 있을까
![[단독] '투자금 100억 증발' 코오롱글로벌, 출자 회사와 장부 공개 분쟁](/images/common/list01_guide02.png)
