사고 터지면 "덮고 보자"…늑장·은폐가 보안 허점 키운다 [해킹공화국]

한국 사회가 사실상 ‘해킹공화국’으로 전락했다는 우려가 커지고 있다. 통신·금융·전자상거래·공공기관을 가리지 않고 해킹 사고가 연쇄적으로 터지고 있지만 기술적 보안 취약성보다 더 큰 문제는 사고 직후 반복되는 늑장 보고와 은폐 관행이라는 지적이 거세다.

22일 이해민 의원이 한국인터넷진흥원(KISA)로부터 받은 자료에 따르면 지난 1년간 늑장·미신고 사례가 66건이 발생했다. 일부 기업은 사고 인지 후 1년이 지나서야 신고한 경우도 확인됐다.

2024년 8월 정보통신망법 개정으로 침해사고 24시간 내 신고가 의무화됐지만 과태료가 최대 3000만 원에 불과해 초기에 신고해 불이익을 감수하기보다는 차라리 벌금을 내고 말자는 분위기가 기업들 사이에 자리 잡고 있다.

KT는 서버 침해를 인지하고도 사흘 뒤에야 신고한 데 이어 피해 지역을 축소해 발표했고 롯데카드는 보름 넘게 ‘유출 없다’는 공지를 내걸었다가 297만 명 개인정보가 털린 사실이 드러났다. SK텔레콤 역시 2600만 건의 고객 정보가 유출되고도 기한을 넘겨 신고했다. ‘늑장·은폐’가 반복되며 신뢰는 추락하고 피해 규모는 기하급수적으로 커지고 있다.

늑장 신고를 해도 솜방망이 처벌에 그치는 한국과 달리 선진국은 막대한 징벌적 손해배상과 과징금으로 보안을 비용이 아니라 기업 생존의 필수 조건으로 자리매김하게 하고 있다.

유럽연합(EU)은 개인정보보호법(GDPR)을 통해 사고 발생 72시간 이내 보고를 의무화하고 이를 어기면 전 세계 매출의 최대 4%까지 과징금을 부과한다. 미국은 집단소송으로 기업이 천문학적 배상액을 떠안을 수 있게 해 보안 사고 자체보다 늑장·은폐가 더 큰 리스크가 되도록 만들었다. 여기에 증권거래위원회(SEC)도 사이버 사고를 공시 의무에 포함해 상장사가 사실을 은폐하면 증권법 위반으로 처벌한다. 이 때문에 글로벌 기업들은 신뢰 방어, 주가 안정을 고려해 피해 사실을 오히려 빠르게 공개한다.

전문가들은 늑장 대응 문제를 근본적으로 해결하기 위해서는 단순히 과태료를 높이는 수준을 넘어 기업이 보안을 비용이 아닌 생존 조건으로 인식하도록 만드는 제도적 장치가 필요하다고 지적한다.

김명주 서울여대 지능정보보호학부 교수는 “기업들이 사고를 은폐하거나 늦장 대응하는 이유는 소문을 줄이고 내부적으로 해결하려는 욕심, 그리고 원인조차 파악하지 못하는 경우가 많기 때문”이라며 “신고 기한을 다소 늘려주되 대신 기업의 책임을 훨씬 강화해야 한다”고 말했다. 이어 “징벌적 손해배상 제도는 사고가 터지면 기업에 막대한 경영상 부담을 주기 때문에 차라리 미리 투자해 사고를 막으라는 유도책”이라고 덧붙였다. 실제 일부 회사들은 사고가 터진 이후 관계 당국에 신고해야 하는데 원인조차 파악하지 못하는 등 요건을 충족하지 못해 사고 신고서를 쓰지 못하는 경우도 발생하고 있다.

현재까지 우리나라에서는 증권분야에 한해 제한적으로 집단소송 제도가 허용되고 있는데 가운데 잇따른 대규모 해킹 피해를 계기로 개인정보 보호 영역에도 이를 도입해야 한다는 목소리가 커지고 있다. 김 교수는 “집단소송을 정보보호 분야에 도입하기에는 국내 기업들이 현실적으로 버티기 어렵다”며 “예컨대 집단소송이 도입됐다면 SKT처럼 2600만 명의 개인정보가 유출된 사건에서 배상액이 2~3조원 대까지 불어날 수 있어 기업 존립 자체가 불기능하다”며 “과거에도 기업들이 회생이 어렵다며 반발했고 실제로 우리 기업들의 수익구조가 튼튼하지 않아 정부가 제도 도입을 미뤄온 것이 사실이며 정부가 추진하려는 징벌적 과징금이 현실적 대안이자 집단소송으로 가는 징검다리”이라고 설명했다.