“해킹 자진신고 안해도 조사”…국회, KT·LGU+ 정조준에 규제 강화 예고

기업의 해킹 사고 은폐 우려가 커지고 있다. KT와 LG유플러스에서 해킹 피해 정황이 포착됐으나, 양사가 자진 신고를 거부해 정부 차원의 엄정한 조사가 어려운 것으로 드러났다. 현행 정보통신망법에 따르면 침해사고가 발생해도 기업이 자진 신고를 하지 않으면 민관합동조사단 출범 등 실효적인 조치가 제한돼, 보안 감시체계의 구조적 취약성이 노출됐다. 국회는 이번 상황을 ‘디지털 보안관리 체계 개혁의 분기점’으로 보고, 실효적 규제 강화 방침을 밝혔다.

KT와 LG유플러스의 해킹 피해 의혹은 과학기술정보방송통신위원회(과방위) 6월 전체회의에서 주요 쟁점으로 다뤄졌다. 특히 KT 경우에는 해킹 정황에도 불구하고 서버 파기 정황이 드러나면서 증거 인멸 시도 논란까지 확산됐다. LG유플러스 또한 다크웹에 8938대 서버 정보와 4만2000여 개 계정 자료가 유출된 사실이 확인됐으나, 양사는 자진 신고 대신 자체 조사 결과만을 바탕으로 신고에 부담을 표명했다. 이에 최민희 과방위원장은 “의혹을 그냥 넘기지 않겠다”며 정보통신망법 개정 의지를 공개적으로 천명했다.

현재로선 한국인터넷진흥원(KISA)과 과기정통부 등 정부가 현장 방문 및 초동 조사에는 일부 착수했으나, 공식적인 사고 조사 착수가 어렵다는 입장을 내놨다. 이는 현행 법제도의 한계 때문으로, 사업자 동의 없는 정부 주도 조사는 법적 근거가 미비하다. 이런 공백을 해소하기 위해 정보통신망법 개정안에는 해킹 사고 정황이 확인될 경우, 기업의 자진 신고가 없어도 정부가 직접 현장 출입 및 자료 제출 요구 등 실질적 조사를 할 수 있는 권한이 명시될 예정이다.

특히 글로벌 IT 업계에서는 이미 기업 책임에 근거한 침해 대응 규제가 구현되고 있어, 국내 정책의 후진성이 도마에 오르고 있다. 미국과 유럽, 일본 등은 기업의 사고 보고 의무 위반에 벌금 혹은 사업정지 등 실질 처벌 규정을 운영하는 반면, 국내는 권고 수준에 머물러 있다는 지적이 이어진다. 이번 사건을 계기로 정보통신망법, 개인정보보호법 등 관련 제도 전반에 대한 재검토가 촉구되고 있다.

전문가들은 “클라우드, IoT 기반 사업자 확대 등으로 디지털 리스크가 심화된 상황에서, 실질적 정부 조사권과 신속 조사 착수 체계가 산업 안정과 소비자 피해 방지의 관건”이라고 해석했다. 산업계는 해킹 사고 발생 시 책임 경영 및 자율 규제를 넘어, 법적 의무 강화 기조가 디지털 경제 질서에 반드시 필요하다고 보고 있다. 기업과 정부, 이용자 간 신뢰 회복을 위한 정보 관리와 규제 혁신이 새로운 성장조건으로 부상하고 있다.