해킹 '늑장신고' 칼 빼든 정부…업계 "경찰권 남용 우려"

정보보호공시 의무 기업 5곳 중 1곳 보안 인력 전무…대상 기업 확대한다

'기업 팔 비틀기' 지적에 "자진 신고 기업에 인센티브·감경 협의"

범부처 정보보호 종합대책 발표하는 배경훈 부총리 (서울=연합뉴스) 이정훈 기자 = 배경훈 부총리 겸 과학기술정보통신부 장관이 22일 서울 종로구 정부서울청사에서 열린 합동브리핑에서 범부처 정보보호 종합대책을 발표하고 있다. 2025.10.22 uwg806@yna.co.kr

이동통신사를 중심으로 해킹 사고와 늑장 신고가 잇따르자 정부가 신고 없이 현장 조사를 가능하게 하는 등 고강도 규제의 칼을 빼 들었다.

22일 과학기술정보통신부와 관계부처가 내놓은 '범부처 정보보호 종합대책'에는 이 같은 내용을 포함해 징벌적 과징금 도입 등 추가 제재 방안이 다수 포함됐다.

SK텔레콤[017670], KT[030200], 롯데카드, SK쉴더스 등 업종을 막론하고 해킹 사고가 발생하며 일단 즉시 실행할 수 있는 단기 과제 위주의 처방전을 내놓은 셈이다.

되풀이되는 지연 신고에 대한 선제 대응 차원이지만, 업계에서는 자칫 경찰권 남용으로 이어질 수 있다는 우려가 나왔다.

◇ 앞으로 신고 없이 해킹 정황 현장 조사…정부, 선제 조치 나선다

이번 종합대책에서는 해킹 정황을 확보한 경우 기업의 신고 없이 현장 조사할 수 있도록 정부의 조사 권한을 확대했다.

배경훈 부총리 겸 과기정통부 장관은 "기존에는 해킹이나 침해 사고 발생 시 신고를 하지 않으면 조사할 수 없었다"며 "정부가 직권 조사를 하겠다는 게 이번 대책의 가장 큰 차이점"이라고 설명했다.

또 해킹 신고를 미루거나 재발 방지 대책을 이행하지 않는 등 보안 의무를 위반하면 과태료나 과징금을 상향하고 징벌적 과징금을 도입하는 강수를 뒀다.

배 부총리는 "정보통신망법으로도 개인정보 유출 등 법 위반시 전체 매출의 3% 이하 과징금을 부과할 수 있도록 정책 연구를 진행하고 있다"고 말했다.

현재는 개인정보보호법 위반 시 전체 매출의 3%까지 과징금을 부과할 수 있다.

이러한 제재 강화의 배경으로는 해킹 정황 발생 당시 기업들이 고의로 신고를 미뤄 초기 대응이 늦어졌다는 의혹이 제기된 점이 꼽힌다.

현행 정보통신망법은 침해 사고 발생 후 24시간 이내에 한국인터넷진흥원(KISA)에 사고를 보고하도록 하고 있다.

그러나 지난 4월 SK텔레콤 유심 정보 해킹 사태 당시에는 사고를 인지한 뒤 만 하루가 지난 시점 KISA에 침해 사실을 신고했다.

불법 기지국으로 인한 무단 소액결제가 발생한 KT 역시 이러한 '24시간 룰'을 어기고 약 3일이 지난 시점에 KISA에 서버 침해 흔적과 의심 정황을 보고했다.

통상 해킹 사고의 경우 발생 직후 24시간에서 48시간까지가 '골든타임'으로 이 기간에 서버 로그, 접근, 유출 경로 등을 파악해야 피해 확산을 예방하고 증거를 보존할 수 있다.

특히 KT의 경우 보고가 늦어지면서 피해 기지국과 결제 경로를 제때 파악하지 못했다는 지적이다.

KT 대리점 [연합뉴스 자료 사진. 재판매 및 DB 금지]

◇ 업계 "경찰권 남용·사찰 우려…조사 대상 기업명 '블러' 필요"

업계 일각에서는 정부의 조사 권한 확대가 자칫 경찰권 남용으로 이어질 수 있다는 우려를 제기하고 있다.

한 IT업계 관계자는 "민간 영역을 정부가 자의적으로 조사하는 경우 경찰권의 남용이나 사찰이 발생할 수 있다"고 우려를 표했다.

이 관계자는 "신고 없이 조사할 수 있도록 권한을 확대한다면 경찰이나 정보기관은 1차 조사에서 배제하고 결과 공유만 할 필요가 있다"고 덧붙였다.

정부의 현장 조사 확대가 기업에 평판 리스크로 작용할 수 있어, 기업명에 대한 보안 강화가 필요하다는 지적도 제기된다.

이 밖에 기업이 자발적으로 해킹 정황을 신고할 수 있는 유인이 부족하다는 비판도 나온다.

다른 통신업계 관계자는 "현재 기업이 자발적으로 해킹 정황을 신고할 수 있는 유인이 부족하다"며 "기업도 해킹 피해를 입은 것인 만큼 과징금이나 조사 절차에 있어 신고를 빨리하도록 유도할 수 있는 정책을 마련해야 한다"고 강조했다.

류제명 과기정통부 2차관은 관련해 "자발적으로 (해킹 정황을) 신고한 기업에 인센티브를 줄 수 있는지 협의하고 자발적 신고에 대해서는 관련 제재 감경 사유로 보는 방안을 논의하겠다"고 말했다.

롯데카드 해킹 사건 상담소 [연합뉴스 자료 사진. 재판매 및 DB 금지]

◇ 전체 상장사로 정보보호공시 의무기업 확대…"보안역량 강화 박차"

이번 종합대책에 포함된 정보보호공시 의무 기업 확대 방안이 해킹 사고를 예방할 수 있는 묘안이 될 수 있을지에도 업계의 관심이 쏠리고 있다.

올해 기준 의무 대상 기업 666곳 가운데 23.7%인 158개 기업에서 정보보호 인력이 전무한 것으로 집계되는 등 의무·자율 공시로 보안 역량을 강화하겠다는 제도 취지가 유명무실화된 상황이기 때문이다.

과기정통부 관계자는 "보안에 대한 인식을 더 이상 비용이 아닌 기업의 성패를 가르는 투자로 전환할 수 있도록 정보보호 공시 의무 시업을 상장사 전체로 확대하고 보안 역량 수준을 등급화해 공개하도록 하겠다"고 설명했다.

한편 온나라 시스템 해킹 등 정부 역시 해킹 피해 책임이 있지만 기업 규제만으로 이를 해결하려 한다는 볼멘소리도 있다.

이에 대해 배 장관은 "정부의 책임이 크다는 것을 부인할 수 없다"며 "정부는 무조건적인 제재로 기업을 압박하기보다 공동으로 해결하길 원한다"고 설명했다.

정부는 내년 예산안에 올해보다 7.7% 증가한 4천12억원을 정보보호 예산으로 편성하고 중장기적 정보보호 대책에서 정부 책임 방안을 발표하겠다고 전했다. 연합뉴스