지난 3년간 침해 사고 신고 건수 2.2배 증가
“미신고 시 강제조사 불가...기업 자발성 의존도 커”

[보안뉴스 강현주 기자] 국민 생활 밀접 분야 사이버 침해 사고가 증가하며 국민 불편이 커지고 있지만, 신고는 여전히 기업 자발성에 의존하고 있어 대책이 필요하다는 목소리가 나온다.

1일 한국인터넷진흥원(KISA)에 따르면, 결혼·취업 정보 서비스, 온라인 서점, 통신사 등 다양한 생활 밀접 서비스 기업들이 해킹 피해를 입는 사례가 잇따르고 있다. KISA에 신고된 침해 사고 건수는 지난 3년간 약 2.2배 증가했다. 전체 신고 건수 중 절반 이상은 서버 해킹이며, 랜섬웨어와 DDoS 공격도 꾸준히 발생하고 있다.

하지만 기업의 자발적 신고에 의존하는 현행 제도의 한계로 정확한 피해 실태 파악은 어려운 실정이다. 다만, 침해 인지 시점이 모호하다는 문제는 지난해 8월 정보통신망법 개정으로 개선됐다.


박용규 KISA 디지털위협대응본부 위협분석단장은 “침해신고의 경우, 신고 기준의 모호함으로 신고를 하지 않거나 뒤늦게 신고하는 문제점을 개선하기 위해 작년 8월 14일부터 정보통신망법이 개정됐다”며 “사고 발생시 기존에는 ‘즉시 신고’였으나, 신설된 조항은 ‘24시간 이내 최초 신고 후 24시간 이내 보완 신고’로 규정한다”고 설명했다.

하지만 침해로 인해 개인정보유출 사고를 당하고도 이를 신고하지 않아 피해를 키우는 일ㅇ;이 여전히 빈번하다. 개인정보 보호법에 따르면 1000명 이상의 개인정보가 유출된 경우 72시간 이내 개인정보보호위원회 또는 KISA에 신고해야 한다.

하지만 개인정보 유출 가능성이 제기되는 기업들도 신고하지 않는 경우가 다수다. 이 경우 현행법상 KISA가 강제 조사할 수 없다. KISA는 개인정보유출 인지 방법으로 공격자가 발송한 협박 메일 확인, 다크웹 게시물 확인 등을 제시하고 있다.

하지만 공격자로부터 랜섬노트나 협박메일을 받거나, 공격자가 다크웹에 자사 데이터를 가지고 있다는 게시를 해도 협박을 받은 적이 없다는 입장만 반복하는 사례도 최근 있었다. 이처럼 개인정보 유출 정황이 있는 상황에서도 신고를 하지 않는다면 정부는 강제 조사할 수 없다.

박 단장은 “개인정보 유출이 의심된다 해도 기업이 신고하지 않으면 조사를 하는 것이 권한을 벗어나는 일이라 강제할 수 없는 실정으로, 국회에서도 우리에게 설명을 요구하고 있다”며 “기업 자발성에 의존해야 하는 구조적인 문제를 해결하기 위해 직권조사 도입 등 정보통신망법 개정이 필요하다는 목소리도 외부에서 높아지고 있다”고 말했다.

박 단장은 “KISA에서도 국내외 위협 인텔리전스(CTI) 기업들과 협력해 해킹 현황을 꾸준히 파악하고 있으며, 다크웹 모니터링 등 다양한 채널을 통해 최대한 신속하게 정보를 입수하고 있다”며 “미신고 대책에 대해서는 국회와 언론 등을 통해 지속적으로 공론화가 이뤄져야 개선될 수 있을 것”이라고 밝혔다.

한편, IBM의 연구결과에 따르면, 세계적으로 랜섬웨어를 당하고도 신고하는 기업은 40%에 불과하다. 하지만 신고를 하고 법의 도움을 받을 경우 평균 100만달러를 절감했다고 조사됐다.

[강현주 기자(jjoo@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>