“해킹 신고 없어도 조사”…과기정통부, 전문가 위원회로 직권조사 확대

해킹 등 보안 사고에 대한 정부의 대응이 한층 강화되고 있다. 과학기술정보통신부가 앞으로 기업의 자진 신고가 없어도 별도 검증위원회를 통해 직권조사가 가능하도록 프로세스 전환에 나선다. 정보통신망법 개정이 완료되기 전에도 민관 전문가 판단만으로 신속 조치를 할 수 있도록 해, 해킹 등 보안 위협의 사각지대를 줄이겠다는 전략이다. 업계는 이번 조치를 ‘통신·금융 등 주요 ICT 인프라의 보안 경쟁력 강화 분기점’으로 인식하고 있다.

과기정통부는 24일 국회 과학기술방송통신위원회 청문회에서 이 같은 방침을 공개했다. 류제명 과기정통부 2차관에 따르면, 현재는 정보통신망법에 따라 기업의 해킹 사고 신고가 있어야만 정부 차원의 민관합동조사단 활동이 가능하다. 그러나 신고 지연이나 은폐 등으로 주요 보안사고에 대한 신속 대응이 어렵다는 비판이 이어져 왔다.

새로 도입되는 ‘전문가 검증위원회’는 민간·학계·보안전문가로 구성된다. 정부가 해킹 정황을 인지하면 위원회가 객관적으로 사고의 사실 여부와 조사의 필요성을 판단한다. 검증위가 직권조사가 필요하다고 의결하면 통신사업자는 곧바로 관련 조치에 착수해야 한다. 특히 이번 방안은 최근 논란이 된 KT 무단 소액결제 침해 등 실시간 사고에 대응하기 위한 보완책이라는 점에서 의미가 있다.

정부와 통신3사는 관련 동의를 이미 마친 상태다. 과기정통부는 “위원회와 정보를 상시 공유하고, 사고 경중에 따라 산업계와 전문가 의견을 반영하겠다”고 밝혔다. 이에 따라 향후 해킹 사고 발생 시 기업의 별도 신고 유무와 무관하게 선제적 정부 조사, 책임소재 규명이 빨라질 전망이다.

주요국들도 해킹 대응을 위한 직권조사 및 민관합동조사단 모델을 도입해 데이터 보호 강화에 나서고 있다. 미국은 연방거래위원회(FTC), 유럽연합은 GDPR 조항에 따라 무신고 사고에 대해서도 정부가 실질적 권한을 실행한다. 한국의 개선안 역시 글로벌 보안 규제 트렌드와 궤를 같이하고 있다.

아울러 관련 법령인 정보통신망법 등 제도적 장치의 개정도 병행된다. 보안사고의 자체 은폐 가능성을 줄이고, 사회적 신뢰 회복을 유도하려는 것이다. IT업계에서는 정부 주도의 신속대응체계 마련을 긍정적으로 평가하면서도 실제 현장에서의 공정한 위원회 운영, 기업정보 보호 등 후속과제가 남아있다는 지적도 나온다.

전문가들은 “이번 직권조사 확대가 통신과 금융 등 공공 인프라 보안 체계 재정비의 시작점이 될 수 있다”고 해석했다. 산업계는 새 조사방식이 실제 보안 수준 강화로 이어질 수 있을지 주목하고 있다.