[사이버 공격②]조사권 없는 KISA···조기 대응 한계

등록 2017.07.09 12:00:00

【서울=뉴시스】오동현 기자 = 사이버 침해사고가 발생하더라도 정보보호기관인 한국인터넷진흥원(KISA)에는 민간기업에 대해 강제 조치할 권한이 없어 추가 피해를 막는데 한계를 드러내고 있다.

9일 KISA에 따르면 사이버 침해사고 발생 시 원인분석 및 조기대응을 위해서는 공격시스템에 대한 분석이 반드시 필요하다. 하지만 피해 기업으로부터 사고분석 동의와 협조를 구하기 어렵다.

피해 기업들이 비협조적인 이유는 침해사고로 인한 이미지 타격과 고객 집단 손해배상, 정부 과징금 등을 우려해서다.

실제 소셜커머스 기업 티몬은 지난 2011년 홈페이지를 해킹당해 113만명 고객의 이름과 주민번호, 비밀번호, 전화번호 등의 정보를 유출당했다는 것이 3년 뒤인 2014년 밝혀진 바 있다.

지난해 5월에는 인터넷 쇼핑몰 인터파크에서 2540만3576건의 고객 개인정보가 유출됐다. 하지만 인터파크는 경찰이 해킹범을 잡기 위해 협조를 구했다는 이유로 방송통신위원회에 신고를 늦게 했다. 결국 같은해 12월 방통위로부터 개인정보 유출사고 중 최대 금액인 44억8000만원의 과징금과 2500만원의 과태료 처분을 받았다.

침해사고는 올해도 계속됐다. 지난 3월 숙박 애플리케이션 여기어때가 해킹을 당해 개인정보 총 99만여건이 유출됐다. 지난달에는 소셜커머스 기업 위메프가 회원들의 개인정보 수만 건을 약 5시간 동안 무방비로 노출한 사실이 드러났다.

이전에도 개인정보 유출사고는 2008년 옥션 1000만명, 2011년 넥슨 1320만명·네이트 3500만명, 2014년 KT 1170만명, 롯데카드 2600만명, NH농협카드 2500만명 등 끊이지 않았다.

이에 KISA는 보안점검 및 조치 등에 대한 법적 집행권한 부여가 필요하다는 입장이다. 지난달 랜섬웨어에 감염된 웹호스팅업체 인터넷나야나 사례만 하더라도 KISA는 해당 업체를 실제 감독할 권한이 없었다.

KISA는 정보통신망과 정보통신서비스제공자로 한정된 현행 규율범위 및 수범대상, 침해사고 신고의무 대상 등을 재검토해야 한다고 촉구했다. 4차 산업혁명 시대의 정보보호 규범 확립이 필요하다는 것이다.

이와 더불어 침해사고 발생시 다수의 피해자가 발생할 수 있는 호스팅 사업자 등 집적정보통신시설에 대한 보호조치 의무화를 강화해야 한다고 주장하고 있다.

백기승 KISA 원장은 지난 7일 기자간담회에서 "(개인정보를 취급하는 사업자라해도) 일정 규모 이하일 경우 대상에서 제외하다보니 관리하기 어려운 점이 있었다"며 "보안 안전에 대한 근본적인 조치가 필요하다"고 말했다.

백 원장은 최근 금융권을 겨냥한 국제해커그룹의 디도스 공격에 대해선 "KISA에 최소한의 권한이라도 있어야 피해를 최대한 줄일 수 있을 것"이라며 "조사를 나갈 때 법적근거 문제에 부딪혀 할 수 있는 일이 많지 않을 때가 있다"고 토로했다.

그러면서 "KISA를 비롯해 집행 기관들의 권한을 법적으로 검토할 때가 되지 않았나 싶다"며 "이제는 다른 관점에서 보안 패러다임을 가져가야 한다"고 강조했다.

백 원장은 "실효성있는 사이버보안 대응을 위해 부처별로 분산된 협력 체계를 강화해야 한다"며 "ICBM(사물인터넷, 클라우드, 빅데이터, 모바일)의 전산업 활성화를 고려한 사이버침해대응과 온라인상 개인 정보 업무 협업 체계 강화가 필요하다"고 강조했다.

또 "사이버 공격의 공공과 민간 영역구분이 무너지는 현실에서 민간의 제한적인 공격·대응 정보교류와 협업으로는 전방위적 사이버안전 확보에 어려움이 발생한다"며 "각 책임기관별 고유영역을 지키면서도 협업이 가능한 새로운 사이버보안협력 거버넌스 시스템 구축이 필요하다"고 전했다.

국가 주요기밀이나 군 관련 이슈는 국가정보원 및 군 사이버사령부가 맡고 있다. 최근 국제해커그룹이 디도스(DDoS·분산서비스거부) 공격을 협박했던 금융권의 경우 금융보안원에서 담당하고 있다. 현재 KISA는 미래창조과학부 산하 기관으로 인터넷 정보보호를 담당하며, 정부기관의 요청이 있을 경우 기술지원 정도만 가능하다.

백 원장은 "사이버 보안을 담당하는 기관들 간의 정보공유 협업 매우 중요해졌다. 하지만 검찰, 경찰 등과는 긴밀하게 협조하면서 정작 보안 담당기관 간에는 정보공유가 원활하지 않다"며 "피해가 민간으로 확산되는 현시점에서 실무적인 기능을 갖춘 기관 간에 원활한 협업체계를 갖출 때가 됐다"고 말했다.

[email protected]