[미디어펜=배소현 기자] 잇따른 해킹 사고에도 기업의 늑장 대응과 은폐 논란이 반복되면서, 사고 자체보다 ‘은폐를 유도하는 구조’가 더 큰 문제라는 지적이 제기됐다. 이와 관련해 국회에서는 해킹 사실을 숨길수록 부담이 커지도록 제도를 전환해야 한다는 공감대가 형성됐다.
| |
 |
|
| ▲ 19일 국회의원회관에서 열린 ‘고의적 해킹 은폐 구조 개선 토론회’에서는 통신·플랫폼 기업의 해킹 사고 대응 과정에서 발생하는 은폐, 지연 공지, 증거 훼손 문제를 제도적으로 차단해야 한다는 논의가 오갔다./사진=배소현 기자 |
19일 국회의원회관에서 열린 ‘고의적 해킹 은폐 구조 개선 토론회’에서는 통신·플랫폼 기업의 해킹 사고 대응 과정에서 발생하는 은폐, 지연 공지, 증거 훼손 문제를 제도적으로 차단해야 한다는 논의가 오갔다.
이날 토론회를 주최한 이해민 조국혁신당 의원은 “보안은 비용 문제가 아니라 기업의 신뢰와 가치를 높이는 문제”라며 “문제가 터졌을 때 정확한 진단과 정의가 선행돼야 하는데, 지금은 그 과정 자체가 제대로 작동하지 않고 있다”고 지적했다.
이어 “해킹 은폐는 사실상 문제 해결을 방해하고, 재발 방지 대책 수립도 어렵게 만든다”며 “오늘 논의가 단순한 문제 제기에 그치지 않고 실질적인 제도 개선으로 이어지길 바란다”고 강조했다.
◆ “기본 안 지켜진 보안”… 반복되는 사고의 구조적 원인
발제를 맡은 최경진 가천대 법학과 교수는 최근 해킹 사고가 단순한 외부 공격 문제가 아닌 내부 관리 부실에서 비롯된 측면이 크다고 진단했다.
최 교수는 “해킹 사고의 상당수는 고도의 공격 때문도 분명 있지만, 기본적인 보안 관리 부실에서 발생한다”며 “접속 관리, 계정 관리 등 기본적인 부분이 제대로 지켜지지 않아 사고로 이어지는 경우가 많다”고 설명했다.
또 “사고를 낸 일부 기업의 문제가 아니라 모든 기업이 함께 고민해야 할 구조적 문제”라고 덧붙였다.
특히 토론회에서는 해킹 사고 이후 ‘증거 보존’ 문제가 핵심 쟁점으로 떠올랐다.
최 교수는 “로그 기록 등 증거가 보존돼야 사고 원인 분석과 재발 방지가 가능하다”며 “현재는 법마다 보존 기준이 달라 일관된 체계가 부족하다”고 지적했다.
이어 “데이터가 삭제되면 위법 행위 입증이 어려워지고, 결과적으로 책임을 묻기 힘든 구조가 된다”고 말했다.
그는 “현행 구조는 실무자 처벌에 그치는 경우가 많다”며 “최고 경영진과 이사회까지 책임을 갖는 구조로 바뀌어야 한다”고 강조했다.
◆ “숨기면 더 큰 비용”… 해외는 ‘당근+채찍’ 병행
해외 사례도 공유됐다. 독일 보안기업 GSMK 소속 박신조 박사는 영상 발제를 통해 유럽의 보안 규제 방향을 소개했다.
박 박사는 “보안 사고의 자발적 공개가 기업 신뢰 회복으로 이어질 수 있도록 인센티브 설계가 필요하다”며 “유럽은 NIS2 지침 등을 통해 강제성과 책임성을 동시에 강화하고 있다”고 설명했다.
또 “투명한 정보 공개를 유도하기 위해서는 ‘당근과 채찍’이 함께 작동해야 한다”며 “화이트 해커에 대한 보상 체계 역시 보안 생태계 강화를 위해 중요하다”고 덧붙였다.
아울러 “한국의 해킹 문제도 국제적 기준에서 투명성과 책임성을 높이는 방향으로 접근해야 한다”고 강조했다.
이 같은 문제의식 속에 해킹 사고 이후 대응 체계 전반을 재정비해야 한다는 목소리가 더욱 힘을 얻고 있다.
한 업계 관계자는 “지금은 사고를 막는 것만큼이나 사고 이후 어떻게 대응하느냐가 중요한 시대”라며 “숨기면 끝나는 구조를 바꾸지 않는 한 같은 논란은 반복될 수밖에 없다”고 말했다.
[미디어펜=배소현 기자]
▶다른기사보기