박윤규(오른쪽) 정보통신산업진흥원장이 21일 서울 여의도 국회에서 열린 과학기술정보방송통신위원회의 ICT 공공기관에 대한 국정감사 개시를 기다리며 류제명 과학기술정보통신부 제2차관과 대화를 하고 있다. (사진=뉴시스)
류 차관은 “기업들의 신고가 없으면 직접 당국이 조사하기 어려운 한계, ISMS(정보보호 관리체계) 같은 제도적 미비점 등 여러 가지 보완점이 많이 있다”며 “정부도 여러 탐지 활동을 통해 다크웹 등에서 정황을 포착하면 기업들에 신고를 안내하고 있지만, 직접 조사나 개입할 권한이 사후적”이라고 설명했다.
이훈기 의원(더불어민주당) 역시 해킹 기업의 신고 지연을 질타했다. 이 의원은 “SK텔레콤(017670) 해킹 사고와 KT(030200) 펨토셀 사고를 보면 법적으로 24시간 내에 신고하게 돼 있는데 신고 시간이 늦다”며 “과태료가 몇백만 원이라 수십 조 매출을 기록하는 통신사에 아무 의미가 없다”고 꼬집었다.
류 차관은 “기업들이 법정 기한보다 늦게 신고할 경우 3000만원 미만으로 부과되는 과태료를 높여 증벌 효과를 키우는 한편, 기업이 신고하지 않아도 침해 정황이 있을 때 당국이 직권으로 조사해 피해를 빨리 막는 것이 좋은 접근 방법”이라고 의견을 보탰다.
KT 등 해킹 사고가 발생한 기업들에 대한 정부 차원의 관리와 제도 개선도 도마 위에 올랐다. 류 차관은 “KT가 미온적인 대처를 하는 이유가 과기정통부의 대응이 늦어서인가”라는 박충권 의원(국민의힘) 질의에 대해 “KT에 대해 한 점 의혹 없이 엄밀하게 조사하겠다”고 강조했다.류 차관은 “민관합동조사단 조사가 중간 단계를 넘어가고 있고, KT의 경우는 실제적인 피해 사례가 있어 당국으로서 위약금에 대한 법률자문 등은 조사 완결 단계에서 진행할 것”이라고 부연했다.
이상휘 의원(국민의힘)은 기업·기관별 해킹 관련 정부 대응이 교육, 정보통신, 외교, 국방, 금융 등 각 분야별로 분산돼 있는 점을 언급하며 “국민 데이터가 전세계로 흩어져 공유되는 판에 컨트롤타워 하나 없이 대응할 수 없다”고 우려했다.
류 차관은 “사이버 안보와 보안 거버넌스는 현재 국가안보실을 중심으로 한 사이버 위기 관리단을 중심점으로 각 분야에서 다 참여하고 있으며, 기관 간 협업 차원에서 부족한 점을 논의하고 있다”고 답했다.
