[비즈니스포스트] "정부가 (해킹) 정황만으로도 직접 조사에 나설 수 있어야 한다. 관련 법 개정을 추진하겠다."

"고객 개인정보를 포함한 자사 정보 유출을 은폐하거나 침해 사실 정황이 드러났음에도 기업의 손실을 막기 위해 자진신고 하지 않는 상황을 우려해 정보통신망법 제48조의4와 관련해 일반침해사고 시 기업을 출입해 조사할 수 있는 권한을 부여하는 개정안을 준비하고 있다."

지난 2일 열린 국회 과학기술정보방송통신위원회 전체회의에서 최민희 위원장(더불어민주당 의원)이 한 발언이라고 언론에 보도된 내용이다. 정부가 침해사고(해킹) 발생 정황 만으로도 기업 서버(컴퓨터) 등을 공식 조사할 수 있도록 법을 개정하겠다고 상임위 회의에서 공식적으로 밝혔다고 한다.

지금은 정보통신망법에 따라 해당 기업의 해킹 신고가 있어야 정부가 민관합동조사단 구성 등을 통해 공식 조사에 나설 수 있게 돼 있다. 자진 신고가 없는 상태에서는 자료 제출 요구 등을 통한 사실 조사 내지 실태 파악 정도만 할 수 있다.

배경훈 과학기술정보통신부 장관도 지난 12일 기자간담회에서 합을 맞출 뜻을 밝혔다.

배 장관은 "인공지능 대전환 시대를 맞이하기에 앞서 반드시 해결해야 하는 것이 해킹 이슈"라며 "기업이 신고하지 않더라도 (해킹 등 사고와 관련해 정부가) 조사할 수 있는 체계를 갖추기 위해 국회와 이야기하고 있다"고 말했다.

최 의원의 이 날 상임위 발언은 지난 8월19일 공개된 미국 해킹 전문지 '프랙(Phrack)' 보고서에서 비롯됐다.

최 의원은 프렉 보고서에 따르면 한국 정부기관과 KT·LG유플러스 등 민간기업이 해킹을 당한 것으로 드러났다며 과기정통부에 철저한 조사를 촉구했다. 하지만 류제명 과기정통부 2차관이 'KT와 LG유플러스가 자진신고를 하지 않아 사실조사에 그치는 상황이다. 법적 근거를 갖고 공식 조사를 하기 위해 사업자들에게 자진 신고를 권유했으나 동의하지 않았다'고 설명하자, 정보통신망법을 개정해 기업이 자진 신고를 하지 않아도 정부가 공식 조사를 할 수 있게 하겠다고 밝힌 것이다.

앞서 프랙 보고서는 'KT 원격제어 서비스(rc.kt.co.kr)에 사용된 인증서와 개인 키가 외부로 유출됐다'고 밝혔다. 또한 해커가 LG유플러스 협력사 'SECUREKI'를 해킹한 뒤 이를 통해 LG유플러스 내부망에 침투해 다수의 계정과 비밀번호가 담긴 'account.txt' 파일을 확보했다고 언급했다.

KT와 LG유플러스는 프랙 보고서 내용에 대해 "침해 사고와 거리가 있다"고 반박했다. KT는 "침해 사실이 확인된 바 없고, 정부 조사에 적극 협조하고 있다"고 밝혔다. LG유플러스는 "조사가 진행 중인 사안이다. 적극 협조하고 있고, 아직 특이 사항이 없다"고 설명했다.

하지만 최 의원은 "유출된 자료가 KT와 LG유플러스 자사 정보와 일치하는 것으로 보여 침해 사고가 있었다고밖에 볼 수 없다"며 공식 조사 압박을 이어가고 있다.

배 장관의 기자간담회 발언은 'KT 휴대전화 무단 소액결제' 사태와 관련한 주무 부처로써의 대책을 설명하는 과정에서 나왔다. 배 장관은 "기존보다 반걸음, 한걸음 빠른 대응책을 고민해 해결책을 찾아나가겠다"고 밝혔다.
 
통신사 해킹 사고는 가입자들에게 '재난'에 가깝다. 피해를 당하지 않을까 맘을 졸이고, 그로 인해 오픈런까지 벌어진다.

통신사 해킹은 국가 안보를 위협하기도 한다. KT·SK텔레콤·LG유플러스 등 통신 3사 통신망은 국가 기간통신망의 중추다. 한 사업자 통신망이라도 해커 손에 넘어가면, 국가 경제와 시민 일상·생존기반 등이 흔들릴 수 있다.   

따라서 불거진 해킹 의혹은 민관합동조사단과 경찰 조사 등을 통해 말끔히 해소돼야 한다. 프랙 보고서를 통해 불거진 KT와 LG유플러스 해킹 의혹, KT 휴대전화 무단 소액결제 사태, KT 통신망에 유령 기지국 침투, SK텔레콤과 KT의 해킹 증거 인멸 의혹 등이 모두 명명백백하게 밝혀져야 한다.

통신망 보안이 담보되지 않으면 이재명 정부의 '모두의 AI'도 사상누각으로 전락할 수밖에 없다.  

해킹 의혹 조사 과정에서 해킹 사실을 신고하지 않고 숨긴 사실이 드러나거나 조사를 거부하는 기업에는 '징벌적 처벌'을 가해야 한다.

해킹 의혹이 불거진 통신사 등에선 "처벌을 엄하게 하면 신고를 안하게 된다"는 주장도 편다. 하지만 해킹 사실을 숨기거나 증거를 인멸한 행위에 대한 처벌이 과태료 수백만 원에 그치기 때문에 하는 소리라는 반박도 많다.

과기정통부 장관은 해킹 사실을 숨기거나 해킹 증거를 인멸한 사업자들에게 영업정지와 사업권 취소 등 행정처분을 할 수 있는 권한을 갖고 있다.

하지만 해킹 정황 만으로 정부가 조사를 명분으로 통신사, 금융사, 대기업 등 민간기업 서버를 직접 들여다볼 수 있게 하려는 것에 대해서는 우려와 반대 목소리가 크다. '빈대 잡으려다 초가삼간 태우는' 부작용을 부를 수 있다는 지적까지 나온다.

정보인권 보호 활동을 펴는 시민단체 활동가들은 무엇보다 국가기관의 악용 가능성을 지적한다. 자칫 조지 오웰 소설 '1984' 속 '빅 브라더'가 등장할 수 있다고 짚기도 한다.

15일 통신업계 관계자들과 정보인권 보호 시민단체 활동가들의 말을 종합하면, 국가정보원(이하 국정원) 등은 그동안 통신사와 금융회사 등을 포함한 민간 전산망에 합법적으로 접근할 수 있는 권한을 갖기 위해 애써왔다.

보안·정보보호 기술을 지원하고, 해킹 발생 시 신속히 대처해 해커를 추적하고 피해가 확산되는 것을 막기 위한 것이라고 설명하지만, 속내는 따로 있다는 분석이 많았다. "민간이 갖고 있는 정보에 접근할 수 있는 통로를 여는 동시에, 이를 통해 조직을 확대하기 위한 것일 수 있다"는 지적도 있었다.

현재 국정원은 국가·공공기관 전산시스템의 보안과 정보보호를 책임지고 있다. 국가·공공기관에 전산시스템 장비나 소프트웨어 등을 납품하려면 국정원의 정보보호 기준을 충족해야 하고, 실증 테스트도 받아야 한다.

또한 보안과 정보보호 등에 사용한 암호 키를 국정원 측에 맡겨야 한다.

국정원 측은 "해킹 공격 등에 대비하고, 사고 발생 시 신속한 대처와 조사를 위해서"라고 설명한다.

국정원은 민간기업에 대해서도 이런 권한을 가지려고 시도해왔다. '사이버 안보' 내지 '국정원 기능 혁신' 등을 명분으로 관련 법 제·개정을 추진해왔다.

조직을 불려 '처장' 자리 하나를 더 만들려고 한다는 의심이 제기되기도 했다. 

하지만 기업들과 정보인권 보호 시민단체 쪽 반발과 우려로 번번이 좌절됐다. 더불어민주당 의원들도 우려와 반대 입장을 밝혀왔다.

경찰은 해킹 공포를 키우는  행태를 여러 차례 보였다. 주요 정부기관과 대기업들이 해킹을 당한 것으로 드러났다고 호들갑을 떠는 게 대표적이다.

거론된 곳의 정보보호 담당자들은 '누리집 운영용 등 이용자 편의를 위해 방화벽 밖에 둔 서버를 상대로 장난질한 것을 갖고 마치 내부 서버가 뚫린 것처럼 호들갑을 떤다'고 볼멘소리를 하곤 했다.

당시 한 원자력 관련 연구기관 전산담당자는 기자에게 "누리집 운영 서버를 방화벽 안에 두면 복잡한 인증 절차 때문에 접속 속도가 느려진다. 해커가 분탕질을 쳐도 5분이면 복구할 수 있어 대부분 방화벽 밖에 두는데, 이 곳에 해커의 장난질 흔적이 있다고 기관이 뚫렸다고 하는 게 말이 되느냐"며 "상대가 경찰이라 공식 대응하지 않을 뿐, 할 말이 없는 게 아니다"라고 말했다.

결과적으로 경찰은 사이버수사 쪽 조직을 키우는 '성과'를 올렸다.

공교롭게도 국회 과방위 최민희 의원이 밝힌 법 개정 취지와 배경훈 장관이 말한 정책 추진 방향이 국정원 등이 그동안 시도했던 것과 일치한다.

해킹 발생 정황 만으로도 정부가 공식 조사에 나설 수 있게 하겠다는 대목이 특히 그렇다. 차이라면, 국정원은 그동안 별도 법 제·개정 방침을 밝혀온 점이다.

조사 주체를 과기정통부와 한국인터넷진흥원(KISA)으로 국한하는 방식으로 국정원을 제외시키면 되지 않겠느냐고 항변할 수도 있다.

하지만 민간기업과 정보인권 보호 시민단체 쪽은 인터넷진흥원 뒤에 국정원이 있다고 의심한다. 특히 과기정통부와 인터넷진흥원은 물론 민관합동조사단까지도 '같이 봅시다'는 국정원과 경찰 등의 요청을 거부할 수 있겠느냐는 의심이 많다.

오병일 진보네트워크센터 대표는 "이유와 명분이 어찌됐건, 정부가 민간 전산망에 접근하려고 시도하는 것 자체는 문제다. 해당 민간기업의 자신 신고나 동의가 없는 한 자료 공유 내지 제출 수준에 그쳐야 한다"고 강조했다.

SK텔레콤이 지난 4월 해킹 및 개인정보 유출  사태 초기 국정원과 인터넷진흥원 쪽의 기술지원 제안을 단칼에 거절한 것도 이런 배경으로 해석되고 있다.

한 통신사 관계자는 비즈니스포스트와 만나 "사실상 국정원에 가입자들의 통화내역 등까지 담긴 통신망 내부 서버를 들여다볼 수 있게 하는 것이고, 사실상 선례를 남기는 것인데 어찌 수용할 수 있었겠냐"며 "우리 같아도 거절했을 것"이라고 말했다. 김재섭 선임기자