사이버 위협 확산 방지를 위해 사이버 공격을 받은 사실을 관계기관에 알려야 하는 '신고 의무화' 규정이 제 기능을 하지 못하고 있다. 사이버 공격을 받은 기업 대다수가 이를 알리지 않고 있어 유명무실하다는 지적이 끊이지 않고 있다.
27일 보안업계에 따르면 사이버 공격을 받고도 이를 감추는 사례가 지속 파악되고 있다. 본지가 지난해 말부터 올 1분기까지 보안 전문기업을 통해 확인한 사이버 침해 10여건 가운데 실제 신고가 이뤄진 사례는 2건에 불과했다.
제약사 A·B사 및 건설사 C사는 모두 랜섬웨어 감염 이후 해커와 직접 협상하면서도 이를 관계기관에 알리지 않았다. 랜섬웨어는 기업의 중요한 파일이나 시스템을 암호화한 후 이를 인질로 금전을 요구하는 악성 프로그램이다. 3개 기업 가운데 한 곳은 암호를 풀어 주는 조건으로 해커에 수십억원을 지급했다.
신고 미이행 사례가 주로 랜섬웨어에 집중되는 것은 다른 사이버 공격과 달리 랜섬웨어·정보 탈취는 당사자와 해커만 사고 사실을 알기 때문이다.
'정보통신망 이용촉진 및 정보보호 등에 관한 법률'(정보통신망법)에 따르면 정보통신서비스 제공자는 침해사고가 발생하면 즉시 그 사실을 과학기술정보통신부 장관이나 한국인터넷진흥원(KISA)에 신고해야 한다. 신고 의무를 저버리면 1000만원 미만의 과태료가 부과된다.
정보통신서비스 제공자는 인터넷에서 상업 목적으로 웹사이트를 개설·운영하거나 인터넷 기반 서비스를 제공하는 기업 모두 해당한다.
지난해 KISA가 접수한 사이버 침해 신고는 1100여건이다. 보안업계는 사이버 공격을 받고도 신고하지 않은 실제 피해 건수는 신고 건수의 수십 배 이상인 것으로 추정하고 있다.
이동범 한국정보보호산업협회장은 “사이버 침해 신고 건수는 실제와 괴리가 큰 것으로 파악된다”면서 “사고의 10분의 1도 신고로 이어지지 않고 있다는 분석이 나올 정도로 격차가 큰 것이 사실”이라고 설명했다.
기업이 침해 사실을 알리지 않는 이유는 다양하다. 보안 체계를 외부 기관에 점검받는 것, 개인정보 유출 관련 제재 처분에 따른 기업 이미지 하락 등에 부담이 있다. 신고의무 규정 자체를 모르거나 책임 소재가 불분명해서 신고하지 않는 사례도 있다. 신고하지 않아도 잘 적발되지 않고, 제재 사례가 드물다는 것도 신고를 꺼리는 이유의 하나다.
문제는 신고 미이행으로 말미암아 민간 사이버 위협 대응 체계가 제대로 작동하지 않는다는 점이다. 민간 부문의 사이버 침해 대응은 신고로 시작된다. 과기정통부와 KISA가 침해사고 원인을 분석하고 피해 확산 방지, 사고 대응, 복구 및 재발 방지 대책을 마련해 필요한 조치를 권고·이행한다. 이 체계가 가동되지 못하는 것이다.
KISA 관계자는 “해커를 통해 민간 기업 침해 사실이 먼저 알려지는 경우도 있지만, 상당수는 기업이 스스로 신고하지 않으면 파악할 수 없는 구조”라면서 “공공부문과 달리 민간은 피해를 알리지 않으면 공격 분석과 대응이 적절히 이뤄지지 않을 공산이 크다”고 설명했다.
신고를 포함한 민간 사이버 대응 체계 전반에 걸친 개선의 필요성이 제기된다. 신고 의무 미이행 기업에 대한 처벌 강화 등 단순 접근은 사이버 위협 확산 방지라는 취지를 오히려 훼손할 수 있어 신중한 논의가 필요하다.
기업 규모가 크고 이용자 수가 많은 대형 사업자는 사이버 신고·대응 책임을 강화하고, 중견·중소기업은 신고를 통해 다양한 지원을 받을 수 있도록 해야 한다는 의견이다.
한 대기업 최고정보보호책임자(CISO)는 “신고가 곧 기업의 과실, 사고 책임을 인정한다는 인식이 강한 것 같다”면서 “오히려 사실상 무용한 처벌 조항을 없애고 기업이 자유롭게 사이버 위협 관련 도움을 받을 수 있도록 규정을 개선하는 게 당초 취지에 부합할 것”이라고 말했다
최경진 가천대 교수는 “사이버 침해와 관련해 세밀한 대응 체계를 수립해야 할 상황”이라면서 “개인정보법과의 중복 규제 등을 피하고 신고를 통해 기업이 실제 대응 과정에서 실익을 얻을 수 있는 구조로 전환하는 것이 관건”이라고 말했다.
최호기자 snoop@etnews.com
3000만원 과태료 '의무화'에도
-
최호 기자기사 더보기