![[현장] 해킹사고 은폐 구조 개선 토론회, 전문가들 "KT·LG유플러스 사례 강력 제재 필요"](https://www.businesspost.co.kr/news/photo/202603/20260319142026_157911.jpg)
▲ 19일 서울 여의도 국회의원회관에서 열린 '해킹 은폐 제로: 고의적 해킹 은폐 구조 개선 토론회'에서 패널들이 토론하고 있다. <비즈니스포스트>
낮은 제재 수준, 미흡한 증거 보존 체계, 불충분한 정보 공개 관행이 맞물리면서 보안 투자보다 은폐를 유도하는 왜곡된 환경이 형성돼 있어, 이를 바로잡기 위한 보다 강력한 제재 마련이 필요하다는 주장이 제기됐다.
“숨기면 과태료, 공개하면 기업 위기.”
최현우 성신여자대학교 융합보안공학과 교수는 19일 서울 여의도 국회의원회관에서 열린 ‘해킹 은폐 제로: 고의적 해킹 은폐 구조 개선 토론회’에서 한국에서 해킹 사고가 은폐되는 이유를 이같이 정의했다.
최 교수는 지난해 통신 3사 해킹 사례를 언급하며 기업들이 사고를 숨길 수밖에 없는 구조적 문제를 짚었다.
그는 “SK텔레콤은 사고를 신고했지만 이후 조사 과정에서 피해 규모와 문제점이 계속 드러나며 사회적 이슈로 확대됐다”며 “이런 상황을 본 KT나 LG유플러스 내부 담당자들이 과연 선뜻 신고에 나설 수 있었겠나, SK텔레콤 입장에서는 ‘괜히 신고했다’는 인식이 생길 수 있는 구조”라고 말했다.
이날 토론회에서는 단순한 기업 윤리 문제가 아니라 제도 자체가 은폐를 유도하는 구조라는 지적이 반복됐다.
이해민 조국혁신당 의원은 “해킹 사고가 발생했을 때 문제 해결보다 은폐가 더 ‘값싼 선택’이 되는 구조가 존재한다”며 “문제는 진단, 정의, 해결 과정으로 이어져야 하지만, 현재는 문제 진단 자체가 방해받고 있다. 은폐가 반복되는 한 재발 방지 대책도 작동할 수 없다”고 말했다.
특히 KT와 LG유플러스 해킹 은폐 의혹 사례는 이같은 구조적 문제를 단적으로 보여준 사례로 꼽혔다.
이 의원은 “KT는 해킹 감염 서버를 알고도 조치를 미루고, LG유플러스는 서버를 폐기하거나 운영체제를 재설치해 포렌식을 어렵게 만들었다”며 “사고 원인 규명 자체가 차단되는 상황이 발생했다”고 지적했다.
최 교수는 국내 제도에 분명한 한계가 존재한다고 진단했다.
해킹 사고 은폐나 신고 지연에 대한 제재 수준이 충분히 강력하지 않아, 제도의 실효성이 떨어진다는 점이 가장 큰 문제라고 지적했다.
실제 해킹 신고 지연 시 부과되는 과태료는 수천만 원 수준에 그치지만, 사고가 공개될 경우 기업이 감당해야 할 경제적 손실과 과징금은 훨씬 크다는 것이다.
또 다른 문제로 해킹 사고 조사에 필수적 디지털 증거 보전과 로그 관리에 관한 제도적 기준이 충분히 마련돼 있지 않아, 사고 원인 규명 과정에서 어려움이 발생할 수 있다는 점이 거론됐다.
이날 발제자로 나선 최경진 가천대 법학과 교수는 이와 관련해 “침해 위협에 체계적이고 실효성 있게 대응하면서도 사후적으로 국민의 피해구제와 정확한 사고 원인 조사 등 회복 탄력성 제고를 위해 적절한 수준의 증거 보존 체계를 마련할 필요가 있다”고 말했다.
또 다른 발제자인 독일 보안기업 GSMK의 박신조 박사도 한국 기업의 해킹 대응을 은폐와 정보 단절 구조로 진단하며 “실효성 있는 정보를 적절한 시일 내 공개하는 문화가 정착되려면 해당 제도가 유의미하게 운영될 수 있도록 정책적 당근과 채찍이 모두 필요하다”고 말했다.
한석현 서울 YMCA 실장은 현행법을 근거로 KT와 LG유플러스에 대한 위약금 면제와 정부의 보다 강력한 제재가 필요하다고 목소리를 높였다.
한 실장은 “과징금이 아니라 수십만 원에서 수백만 원 수준의 과태료에 그치는 경우가 많다”며 “처벌 수위가 상당히 약하다”고 지적했다.
그는 “민관합동조사단으로 해결이 어려울 경우 사건이 경찰로 넘어가지만, 경찰은 조사 방해 행위만 들여다볼 수밖에 없다”며 “기업들이 보안 투자보다 은폐에 집중하게 되는 구조”라고 말했다.
그는 "LG유플러스가 4월13일부터 전체 가입자를 대상으로 유심을 무료로 교체해주겠다고 하지만, 현재 보안 우려가 있는 기존 IMSI 체계에서 유심을 받도록 하는 것은 문제가 있다"고 주장했다.
한 실장은 “기업 인식이 하루 아침에 바뀌기는 어렵다. 선제적 조치를 이끌어내기 위해서는 강력한 제재가 필요하다”며 “완벽한 보안 체계는 있을 수 없기 때문에 면밀히 보완하는 법 제도를 시행할 필요가 있다”고 말했다.
![[현장] 해킹사고 은폐 구조 개선 토론회, 전문가들 "KT·LG유플러스 사례 강력 제재 필요"](https://www.businesspost.co.kr/news/photo/202603/20260319142204_156407.jpg)
▲ 19일 서울 여의도 국회의원회관에서 열린 '해킹 은폐 제로: 고의적 해킹 은폐 구조 개선 토론회'에서 참석자들이 기념 촬영하고 있다. <비즈니스포스트>
개정안에는 신고가 없더라도 해킹 정황이 확인되면 정부가 조사에 착수할 수 있도록 하고, 신고 의무 위반에 대한 과태료를 강화하는 내용이 포함됐다.
또 자료 삭제 시 징역형을 도입하고, 자료 제출 불이행 시 이행강제금을 부과하는 한편 반복적 사고에는 매출의 3%까지 과징금을 부과할 수 있도록 하는 내용도 담겼다.
임 국장은 “법 개정 이전부터 기업들의 보안 인식이 개선되며 신고율이 높아지고 있다”며 “사고를 숨기고 넘어갈 수 있다는 우려는 점차 줄어들 것”이라고 주장했다.
이해민 혁신당 의원은 “기술의 속도를 절대로 법과 제도가 따라 갈 수 없다. 해킹이나 보안에서는 더욱 그렇다”며 “은폐를 하는 순간 기업이 망할 수도 있구나 하도록 해야 한다”고 주장했다. 조승리 기자
