[보안칼럼] 침해사고 대응 법령 22년전 신설...적절히 보완해야

2025년은 우리나라 보안 역사에서 대형 침해사고가 많이 발생한 한 해로 기록될 전망이다. 국내 최대 이동통신사와 최대 온라인쇼핑몰에서 침해사고가 발생해 개인정보가 대량 유출됐고, 대형 온라인서점과 보증보험 등 국민의 일상에 밀접한 온라인 서비스가 랜섬웨어 공격으로 마비돼 많은 국민이 피해를 입었다. 우리 사회가 ‘정보사회’를 넘어 ‘IT 기반 사회’가 됐음을 실감하는 계기도 됐다.

그런데 여느 해와 다르게, 사고기업의 침해사고 신고 의무 위반과 자체 사고 분석에 관한 문제가 불거졌다. 이번 칼럼에서 정보통신망법을 중심 침해사고의 신고와 분석 문제를 다뤄본다.

정보통신망법 침해사고 신고 의무

정보통신망법에서는 정보통신서비스 제공자(온라인서비스 제공자)는 침해사고가 발생한 것을 알게 된 때부터 24시간 이내 과학기술정보통신부장관이나 한국인터넷진흥원에 신고해야 하는데, 일부 업체가 이를 위반한 것이 문제가 됐다. (참고로, 정보통신망법의 침해사고 관련 규정은 정보통신서비스 제공자에 적용되는데, 영리 목적으로 홈페이지나 SNS만 이용해도 정보통신서비스 제공자에 해당해 적용 대상이 많다. 아래 이미지 참조)

과기정통부장관은, 침해사고가 발생하면 정보통신망법에 따라 ▲침해사고에 관한 정보의 수집, 전파 등 침해사고에 대한 긴급 대응조치 ▲침해사고 원인 분석, 피해 확산 방지, 사고대응, 복구 및 재발 방지를 위한 대책 마련 ▲사고기업에 이행 명령, 이행 여부 점검 및 시정 명령 등 침해사고 대응을 수행해야 한다(정보통신망법 제48조의2~제48조의4). 침해사고 대응 시 첫 단추인 ‘신고’가 중요할 수밖에 없다.

침해사고를 신고하지 않거나 기한을 넘겨 신고하는 등 신고 의무 규정을 위반하면 3000만 원 이하 과태료가 부과될 수 있다. 세부적으로는 1회 위반 시 750만 원, 2회 1500만 원, 3회 3000만 원이고, 위반 횟수는 최근 3년간 같은 위반 행위에 대해서만 증가한다(시행령 별표 9. 과태료 부과기준). 신고 의무 위반 기업에 실제 부과된 과태료는 대부분 750만 원에 그칠 것이다. 제재에 따른 사후 처벌이나 사전 예방 효과를 기대하기는 어려운 수준이다. 매출이 수십조 원에 이르는 대기업에는 더욱 그렇다.

침해사고 신고 의무 위반에 대한 차등 제재 필요성

현행 법에서는 모든 위반 사업자를 똑같이 제재하므로, 과태료를 많이 높이기도 어렵다. 법의 취지에 맞게 제재의 실효성을 확보하려면, 차등 제재를 고려해야 한다. 참고할 만한 사례로는 유럽연합의 ‘네트워크 및 정보시스템 보안2’(NIS2: Network and Information system 2) 지침이 있다.

NIS2 지침(Directive)은 공공기관과 기업의 규모, 산업 섹터를 종합해 ‘필수 기관’과 ‘중요 기관’을 정의하는데(제3조(필수 기관과 중요 기관)), 이들 기관에서 중대 사고가 발생하면 서비스 이용자에게 지체 없이 통지하고, 사고를 인지한 지 24시간 이내 조기 경보, 72시간 이내 사고 통지(심각도와 영향을 포함한 초기 평가, 가능하면 침해지표(IoC) 포함, 1달 이내에 최종 보고서를 국가 CSIRT(Computer Security Incident Response Team) 또는 규제 기관에 제출하도록 한다(제23조(보고 의무)).

이를 위반하면, 필수 기관에는 최소 1000만 유로(약 170억 원) 또는 직전 회계연도 연간 전 세계 총 매출액의 최소 2% 중 더 높은 금액의 과징금을, 중요 기관에는 최소 700만 유로(약 120억 원) 또는 직전 회계연도 연간 전 세계 총 매출액의 최소 1.4% 중 더 높은 금액의 과징금이 부과될 수 있다(제34조(필수기관과 중요기관에 대한 과징금 부과의 일반 조건)). 만일 필수 기관이 중대 사고를 중대 사고가 아니라고 판단하여 보고하지 않거나 지연 보고하면 이 조항을 위반한 것으로 간주돼 고액의 과징금을 부과받을 수 있다.

정보통신망법에서도 신고 의무 위반 시 기업과 서비스의 규모와 중요성, 침해사고의 중대성에 따라 제재를 차등 적용하는 것을 검토해 볼 필요가 있다. 수조 원의 매출을 올리는 서비스를 운영하는 대기업이 해킹을 당해 수천만 명의 고객정보가 유출된 상황에서 신고 의무를 위반했다면, 수백억 원의 과징금을 부과할 수 있어야 하지 않을까? 만일, 증거를 은닉·인멸하려는 목적으로 그렇게 했다면, 일반적인 신고 의무 위반 때보다 더 많은 과징금을 부과하는 것이 적절해 보인다.(개인정보 유출 사고에서 신고 의무를 위반한 사업자에 동일한 과태료를 부과하는 개인정보보호법도 마찬가지다.)

다만, 지금의 신고 규정은 보완할 부분도 있다. 침해사고가 발생한 것을 알게 된 사업자는 ▲침해사고의 발생 일시, 원인 및 피해내용 ▲침해사고에 대한 조치사항 등 대응 현황 ▲침해사고 대응업무를 담당하는 부서 및 연락처를 신고해야 하는데, 역량 있는 정보보안팀이라도 이를 24시간 안에 다 파악하기가 쉽지 않다. NIS2 지침과 같이 24시간 이내 1차 신고, 72시간 이내 2차 신고, 1달 이내 3차 신고 등 단계별 신고 방식이나 개인정보보호법과 같이 기한 내 필수적으로 신고할 사항과 이후 파악했을 때 신고할 사항을 구분하는 것을 고려해 볼 수 있다.

정보통신망법의 침해사고 분석과 대응 의무

침해사고 발생 시 신고 의무 외에 사고 분석 의무 또한 중요하다. 정보통신망법의 관련 규정은 다음과 같다.

법 제48조의4(침해사고의 원인 분석 등) ① 정보통신서비스 제공자 등 정보통신망을 운영하는 자는 침해사고가 발생하면 침해사고의 원인을 분석하고 그 결과에 따라 피해의 확산 방지를 위하여 사고대응, 복구 및 재발 방지에 필요한 조치를 해야 한다.

즉, 사고기업에서는 ▲침해사고 원인을 분석하고 ▲사고 대응 ▲복구 및 재발 방지에 필요한 조치를 해야 한다. 법률적으로나 기술적으로 침해사고 대응의 핵심은 사고 분석이다. 이 규정은 2004년 정보통신망법에 침해사고 대응 관련 규정이 신설될 때부터 있었으나, 그리 강조되지 않았던 게 사실이다. 위반에 따른 제재도 없다. (적용 대상과 산업의 성격이 다르긴 하지만, 전자금융거래법에도 이와 유사한 규정이 있고, 위반 시 영업정지 등 강력한 제재를 받을 수 있다(제21조의5(침해사고의 통지 등) 제2항, 제43조(허가와 등록의 취소 등) 제2항)).

그러나 이제는 우리나라가 IT 기반 사회가 돼 침해사고의 사회적 영향과 손실이 많이 발생하는 상황이 됐다. 침해사고에 대한 신고율이 낮은데도 신고된 사건을 한국인터넷진흥원이 다 분석하기에는 역부족이다. 중견·대기업에서 발생한 침해사고를 세금을 들여 무료로 분석해 주는 것이 적절한지도 의문이다.

기업에서는 침해사고가 발생하면 어떤 식으로든 조사·분석을 진행하여 경영진에 보고하는 것이 보통이다. 침해사고 대응 전문업체나 보안관제업체에 위탁하거나 전문역량을 보유한 기업이라면 자체적으로 수행하기도 한다. 하지만 전문역량을 갖춘 기업이 그리 많지 않고, 외부의 도움을 받으려고 해도 어떤 전문기업이 있는지 알기도 어렵다. 전문역량이 부족한 조직이 침해사고를 분석하면서 데이터를 오염시키는 사고가 발생할 수 있다는 주장도 있다.

침해사고 분석 전문기업 필요성

영국에는 NCSC(National Cyber Security Centre)에서 침해사고 발생 시 이를 조사·분석할 수 있는 전문기관을 ‘Assured Cyber Incident Response(CIR) provider’로 지정한다. 일반적인 침해사고에 대응할 수 있는 ‘Standard level’과 국가배후 공격 등 고도의 침해사고를 대응할 수 있는 ‘Enhanced level’로 나뉘는데, 현재 50여 개가 등록돼 있다. 우리나라에서도 참고할 만한 제도가 아닐까 한다.

사고기업은 전문성과 신뢰성을 갖춘 ‘침해사고 분석 전문기업’에 의뢰해 사고를 분석하고 재발 방지책을 수립, 적용할 수 있으며, 과기정통부 역시 민관합동조사단 구성이나 대규모 침해사고 대응 시 전문기업과 협업할 수 있다(지금은 전문가 풀을 운영하고 있다). 국가적으로는 위협 인텔리전스(CTI: Cyber Threat Intelligence)를 축적·관리·공유함으로써, 침해사고 예방을 위해 사용하는 선순환이 이뤄질 수 있다. (우리나라에서도 맨디언트 같은 침해사고 대응 전문 대기업이 성장했으면 하는 바람도 있다.)