2025.10.22 (수) 21:14
22일 과학기술정보통신부와 관계부처가 내놓은 ‘범부처 정보보호 종합대책’에는 이 같은 내용을 포함해 징벌적 과징금 도입 등 추가 제재 방안이 다수 포함됐다.
이번 종합대책에서는 해킹 정황을 확보한 경우 기업의 신고 없이 현장 조사할 수 있도록 정부의 조사 권한을 확대했다.
또 해킹 신고를 미루거나 재발 방지 대책을 이행하지 않는 등 보안 의무를 위반하면 과태료나 과징금을 상향하고 징벌적 과징금을 도입하는 강수를 뒀다.
이러한 제재 강화의 배경으로는 해킹 정황 발생 당시 기업들이 고의로 신고를 미뤄 초기 대응이 늦어졌다는 의혹이 제기된 점이 꼽힌다.
현행 정보통신망법은 침해 사고 발생 후 24시간 이내에 한국인터넷진흥원(KISA)에 사고를 보고하도록 하고 있다.
그러나 지난 4월 SK텔레콤 유심 정보 해킹 사태 당시에는 사고를 인지한 뒤 만 하루가 지난 시점 KISA에 침해 사실을 신고했다.
불법 기지국으로 인한 무단 소액결제가 발생한 KT 역시 이러한 ‘24시간 룰’을 어기고 약 3일이 지난 시점에 KISA에 서버 침해 흔적과 의심 정황을 보고했다.
통상 해킹 사고의 경우 발생 직후 24시간에서 48시간까지가 ‘골든타임’으로 이 기간에 서버 로그, 접근, 유출 경로 등을 파악해야 피해 확산을 예방하고 증거를 보존할 수 있다.
특히 KT의 경우 보고가 늦어지면서 피해 기지국과 결제 경로를 제때 파악하지 못했다는 지적이다.
정부가 해킹 정황을 신속하게 조사하는 게 피해와 악성코드 전파 예방을 위해 바람직하다는 게 업계 중론이다.
다만 업계 일각에서는 정부의 조사 권한 확대가 자칫 경찰권 남용으로 이어질 수 있다는 우려를 제기하고 있다.
연합뉴스@yna.co.kr
