"우리나라에서 해킹을 숨기면 과태료 3000만 원으로 끝나고 공개하면 기업의 위기가 오는 상황입니다." 대규모 해킹 사고가 발생했을 때 기업이 책임을 회피하고 사태를 축소하기 위해 고의적으로 증거인멸을 하거나 은폐하는 행위를 막을 수 있는 체계가 만들어져야 한다는 주장이 나왔다.

전문가들은 최근 증거인멸을 적극적으로 할수록 사고 관련 책임을 피하게 되는 역설적인 상황이 발생하고 있다며 법적으로 증거보존 책임을 명확히 해야 한다고 입을 모았다.

이해민 조국혁신당 의원은 19일 국회의원회관에서 '고의적 해킹 은폐 구조 개선 토론회'를 개최했다.

토론회는 최근 대규모 통신·플랫폼 기업에서 잇따라 발생한 해킹 사고 증거인멸 문제의 제도적 해법을 모색하기 위해 마련됐다.

"최근 사고 공통점은 침해 사실 부인·축소하는 것"
참석자들은 최근 발생한 대규모 해킹 사고와 관련해 증거를 미보존하는 사례가 빈번하게 발생하고 있다고 지적했다.

지난해 SK텔레콤, KT, LG유플러스, 쿠팡, 롯데카드 등 기업에서 해킹 사고가 발생했다. 관련해 KT는 해킹 사고 처리 과정에서 감염 서버를 임의 폐기한 의혹으로 조사를 받고 있다. LG유플러스도 기존 서버를 폐기하고 운영체제를 재설치한 혐의로 수사를 받고 있다.

독일 보안기업 GSNK의 박신조 박사는 "무엇보다 LG유플러스의 사례처럼 침해 원인이나 규모 파악조차 어려운 증거파괴가 일어나는 일이 가장 큰 문제"라고 지적했다.

최현우 성신여대 융합보안공학과 교수도 "최근 국내에서 발생한 대규모 침해사고의 공통된 특징은 침해 사실을 부인하거나 상황을 축소하려는 경향이 반복된다는 점"이라고 말했다.

이해민 의원도 "(해킹 사고의) 가장 큰 문제는 보안 실패를 인정하고 피해 복구를 위해 노력해야 할 기업들이 사고를 축소하고 노골적으로 증거를 지우는데 몰두한다"고 했다.


"제도가 문제…유럽은 무단 폐기 시 최대 170억 원 부과"
전문가들은 해킹 사고 은폐·축소가 기업의 윤리 문제기이기도 하지만 제도적 구조가 만들어 낸 결과라고 설명했다.

현행법에서는 개인정보보호법과 정보통신망법 등에 따라 자료 보전을 일부 강제하고 있다. 정보통신망법에서는 침해사고 발생 시 신고 의무를 규정하고 있는데 이행하지 않을 시 3000만 원 이하의 과태료를 부과한다.

반면 유럽의 경우 네트워크 및 정보 시스템의 보안에 관한 지침(NIS2)을 통해 관련 행위가 발생할 경우 고액의 벌금을 부과하고 있다. 이 지침에서는 단순히 보안 책임자(등록된 자)가 연락되지 않는 경우에 대해서도 최대 10만 유로(1억 7000만 원)를 부과할 수 있다. 중요 통신 서비스를 운영하는 경우 사고 조사를 위한 정보를 무단으로 폐기한 등의 경우에는 최대 1000만 유로(170억 원)를 벌금으로 부과할 수 있다.

최경진 가천대 법학과 교수(인공지능법학회장)는 "현재까지 조치를 종합하면 증거인멸을 적극적으로 할수록 침해사고 관련 책임을 피하게 되는 역설적인 결과가 발생하고 있다"며 "이에 대해 아무런 조치가 이뤄지지 않는다면 '증거인멸로 책임을 줄일 수 있다'는 부정적인 선례가 남을 수 있다"고 말했다.

최현우 교수는 "최근의 현상은 개별 기업의 (윤리) 문제라기보다는 현재의 제도적 구조가 만들어낸 결과로 특히 통신사 침해사고가 이를 잘 보여준다"며 "현재의 제도에서는 해킹을 숨기는 현상이 기업에게는 오히려 더 합리적인 선택이기 때문이다. 숨기면 과태료, 공개하면 기업 위기인 구조에서 기업이 투명성을 선택할 수 있겠냐"고 전했다.

"은폐 기업 강력하게 규제해야…공개하면 보호도"
이에 참석자들은 침해사고 은폐를 막기 위해 제재 체계를 강화해야 한다고 입을 모았다.

구체적으로는 사고를 숨기는 기업은 강력히 처벌하고 공개하면 보호를 받는 구조로 나아가야 한다고 했다.

한석현 서울 YMCA 실장은 "선제적 조치를 이끌어내기 위해서는 강력한 규제가 필요하고 반대로 강력한 보상도 필요하다"며 "경영진이 당연히 책임을 지고 형사처벌도 이뤄져야 한다"고 강조했다.

최현우 교수는 "침해사고 신고 의무의 실효성을 높이기 위해 제재를 강화해야 한다"며 "고의적인 증거 삭제 행위에 대해서는 강력한 법적 책임을 부과해야 한다"고 말했다.

국회와 정부는 해킹 사고 증거 은닉 문제를 엄중히 인식하고 있으며 관련 입법적 노력을 하겠다고 약속했다.

김현 과학기술정보방송통신위원회 간사(더불어민주당 의원)는 "국회도 최근의 문제를 엄중하게 인식하고 있다"며 "침해사고 대응체계를 보다 투명하고 책임성 있게 만들기 위한 입법적 노력을 다하겠다"고 했다. 이해민 의원도 "오늘 나온 의견이 법과 제도로 안착할 수 있게 끝까지 챙기겠다"고 말했다.

임정규 과학기술정보통신부 정보보호네트워크국장은 "문제 제기에 공감한다"며 "여러 과제를 제안해 주신 것에 정부도 감사하고 열심히 제도를 도입하도록 최선을 다하겠다"고 답했다.

minju@news1.kr