본사와 달리 협력사가 침해 정황을 신고한 것이 드러나면서, 현행 제도의 한계와 기업 책임 논란이 커지고 있다.
LG유플러스 용산 사옥 (사진=LG유플러스)
앞서 미국 해킹 전문지 ‘프랙’은 KT와 LG유플러스의 개인정보 유출 정황을 공개하며, LG유플러스는 시큐어키 계정 정보 해킹이 단초가 됐다고 지적한 바 있다.
프랙에 따르면 LG유플러스는 내부 서버 관리용 계정권한 관리 시스템(APPM) 소스코드와 데이터베이스, 8938대 서버 정보, 4만2526개 계정 및 167명 직원·협력사 정보가 유출된 것으로 나타났다. KT 역시 웹서비스 서버의 인증서와 개인키 파일이 외부에 유출된 정황이 확인됐다.
국회 과학기술정보방송통신위원회 박충권 의원실이 한국인터넷진흥원(KISA)으로부터 제출받은 자료에 따르면, KISA는 실제로 시큐어키가 개발한 APPM을 사용 중인 LG유플러스의 소스코드와 데이터 유출 사실을 확인했으며, 시큐어키 측에 해당 파일을 전달한 상태다.
다만 KT와 LG유플러스는 협력사 등을 통한 정보 유출 가능성은 인정하면서도 내부 서버 해킹은 없었다는 입장을 유지하고 있다. LG유플러스 관계자는 “계정 정보는 암호화된 상태였으며 2·3차 인증 없이는 서버 접근이 불가능했고, 실제 침투 시도도 없었다”고 설명했다. KT 관계자 역시 “탈취된 정보로 자사 서버에 접근한 흔적은 확인되지 않았다”고 밝혔다.
문제는 현행 정보통신망법이 ‘사업자의 자진 신고’를 전제로만 정밀 조사가 가능하다는 점이다. 개인정보보호법과 달리, 개인정보 유출 이전 단계인 단순 침해 정황만으로는 정부가 독자적으로 조사에 착수하기 어렵다.
법에 따르면 중대한 침해사고가 발생할 경우 ‘민관합동조사단’을 구성해 현장 조사를 실시하고(제48조의4), 사업자가 관련 자료를 제출해야 한다(제64조 제1항). 그러나 이 역시 기업의 자진 신고가 전제돼야 하며, ‘중대한 침해’의 범위가 모호해 기업의 협조 없이는 사실상 조사가 어렵다는 한계가 지적된다.
현재 양사는 개인정보보호위원회로부터 조사는 받고 있다. 정보통신망법과 달리 개인정보 유출을 엄격히 금하는 개인정보보호법에서는 자진 신고가 아닌 시민단체 등 외부 신고만으로도 정부가 조사에 착수할 수 있게 법적 근거가 마련돼 있어 가능한 일이다.
국회는 정보통신망법 개정을 서두르고 있다. 조인철 더불어민주당 의원은 지난 8일 중대한 침해사고가 아니더라도 원인 분석과 조사가 가능하도록 하는 개정안을 대표 발의했으며, 최수진 국민의힘 의원 역시 민관합동조사단의 조사 권한과 사업자의 자료 제출 의무를 강화하는 개정안을 제출했다. 최민희 더불어민주당 의원도 조만간 유사한 법안을 발의할 계획이다.
배경훈 과학기술정보통신부 장관 역시 최근 기자간담회에서 “현재는 기업의 사고 접수가 있어야만 정부가 대응할 수 있는 구조”라며 “의심 정황만으로도 즉시 대응할 수 있는 법적 체계 마련이 필요하다”고 말했다.
단순한 조사권 확대보다 제도 전반의 정비가 필요하다는 지적도 있다. 김승주 고려대 정보보호대학원 교수는 “정보통신망법의 영향을 받는 기업 수가 매우 많아 단순히 조사권이나 수사권을 확대한다면 악용될 가능성이 크다”며 “그럼에도 권한 확대가 필요하다면 적어도 민간뿐만 아니라 행정·공공기관도 동일하게 적용받을 수 있는 체계로 같이 바꿔야 한다”고 제언했다.
