[사설]신고 의무화 제도 실효성 방안 마련해야

사이버 해킹 수법은 하루가 다르게 고도화되고 있다. 분산서비스거부공격(DDoS)은 디지털 사회를 맞아 가장 많이 구사된 해킹 수법이다. 마찬가지로 지능형지속위협(APT) 공격은 사회과학적 수법을 이용한다. 이메일 등으로 연결고리를 만든 후 시스템에 침투한다. 물리적 망 분리를 무력화시킬 수 있다. 과거 방송사와 금융 시스템을 마비시킨 '320 사태'가 바로 그것이었다. 요즘은 해킹 범죄가 경제사범화되고 있다. 전산 시스템을 인질로 거액을 요구하는 행위가 빈번해졌다. 대표적인 게 랜섬웨어 해킹이다.

이 때문에 랜섬웨어 피해가 나고도 외부에 알리지 않은 기업이 늘고 있다. 지난해 말부터 올 1분기까지 보안 전문기업을 통해 확인된 사이버 침해 10여건 가운데 실제 신고가 이뤄진 사례는 고작 2건이었다. 우리 정부는 이 같은 의도적 회피, 사실 관계 숨기기에 급급한 것을 방지하기 위해 법제도를 운영하고 있다. '신고 의무화' 규정이 그것이다.

그러나 제약사 A·B사와 건설사 C사는 모두 랜섬웨어에 감염된 후 해커와의 직접 담판을 선택했다. 협상을 진행하면서도 이를 관계기관에 알리지 않았다. 랜섬웨어는 기업의 중요한 파일이나 시스템을 암호화한 후 이를 인질로 해서 금전을 요구하는 악성 프로그램이다. 세 기업 가운데 한 곳은 암호를 푸는 조건으로 해커에 수십억원을 지급했다. 조용한 해결을 선택한 것이다. 물론 기업이 해킹 피해 사실을 외부에 알리기는 쉽지 않다. 브랜드 이미지에 먹칠을 할 수 있기 때문이다. 적게는 수억원, 많게는 수백억원의 홍보비를 투입한 게 무용지물이 되기도 한다.

정보통신망법은 정보통신서비스 제공자에 침해사고가 발생하면 즉시 그 사실을 과학기술정보통신부 장관이나 한국인터넷진흥원(KISA)에 신고하도록 규정해 놓고 있다. 즉각 대응을 통한 피해 최소화를 위해서다. 민간 기업의 경우 해킹에 이어 개인정보 유출 등 2차 피해가 발생할 수도 있기 때문이다. 이제는 신고 의무화 규정이 좀 더 실효적으로 작동될 수 있도록 제도 보완을 고민할 때다.