정보통신서비스 제공자와 집적정보통신 사업자는 해킹, 악성코드, 분산형 서비스 거부(DDoS) 등 사이버 공격으로 인한 침해사고가 발생하거나 인지하면 즉시 과학기술정보통신부 또는 한국인터넷진흥원(KISA)에 신고해야 한다. 이를 위반하면 정보통신망법에 따라 최대 1000만원의 과태료가 부과된다.
일부 기업만 대상인 것 같지만 실제로는 범위가 넓다. 인터넷 상에서 상업 목적으로 웹사이트를 개설·운영하거나 인터넷 기반 서비스를 제공하는 기업이면 모두 포함된다. 제조 기업도 영업을 목적으로 홈페이지를 운영하면 신고 대상이다. 사실상 대상에서 제외되는 기업을 찾아보기란 어렵다. 기업이 침해 사실을 신고하면 KISA 침해대응단이 현장에서 조사하고 수법 등을 파악한다. 나아가 다른 기업에 같은 피해가 발생하지 않도록 사고확산 방지 조처를 한다. 반드시 필요한 절차이지만 일각에선 제도가 제대로 운영되지 않고 있다고 지적한다.
지난해 기준 KISA에 접수된 사이버 침해 신고 건수는 639건이다. 2년 만에 53% 급증했다. 사이버 공격이 급증하고 있다는 게 수치로 확인됐지만 극히 일부 사례만 반영된 결과라는 게 중론이다. 실제 기업의 피해 규모는 KISA 발표치의 몇 배는 될 것으로 관측된다. 사이버 침해사고와 정부가 파악하는 공식 수치 간 괴리가 발생하는 이유는 자명하다. 상당수의 기업이 사이버 침해 사고를 당하고도 신고하지 않기 때문이다. 실제로 랜섬웨어에 감염된 뒤 해커와 협상해서 비용을 지불하고도 신고하지 않은 사례가 심심치 않게 파악된다.
기업이 신고하지 않은 이유는 다양하다. 중소기업은 신고 의무 자체를 모르는 경우가 많다. 대기업은 사이버 침해 사실이 알려지면 브랜드 가치 하락을 걱정한다. 각종 사업 정보, 나아가 보안 취약점이 외부 기관에 공개되는 것도 우려한다. 이유가 어떻든 모두 현행법 위반이다. 신고 제도의 도입 취지와 현재 사이버 침해 증가 추세를 감안하면 제도 개선이 시급하다.
미신고 기업에 대한 처벌 강화 등은 해법이 될 수 없다. 기업이 신고제도를 통해 후속 대응의 어려움을 해소하고 실제 사고 확산을 방지하는 선순환을 구현해야 한다. 다양한 피해 사례를 확보할수록 사이버 공격에 대한 대응력이 높아진다고 보면 피해 기업이 신고를 통해 실익을 체감할 수 있도록 개선해야 한다. 기업 침해 사고에 대응하는 KISA 전담 조직 확대도 필요하다. 민간 기업의 사고에 대응하는 KISA 침해대응단은 수년째 인력이 120여명에 머무르고 있다. 기업 입장에선 신고하더라도 KISA가 제대로 대응할지 의문을 제기하고 있다. 민간 사이버 침해 대응 체계를 이대로 방치하면 피해 규모가 순식간에 눈덩이처럼 커질 수밖에 없다.
최호기자 snoop@etnews.com
