생성형 인공지능(AI) 육성·규제 및 윤리
디지털플랫폼 이용자 보호 방안
사이버 침해사고 신고제도 실효성 제고
[보안뉴스 김영명 기자] 2023년 국정감사가 10월 10일부터 27일까지 진행된다. 올해 과학기술정보통신부의 국정감사에서는 △생성형 인공지능(AI) 육성·규제 및 윤리 △디지털플랫폼 이용자 보호 방안 등이 논의된다. 이에 <보안뉴스>는 미리보는 2023년 국정감사 시리즈에서 과기정통부의 디지털 정책 및 보안과 관련된 주요 이슈를 살펴본다.
[이미지=gettyimagesbank]
생성형 인공지능(AI) 육성·규제 및 윤리
인공지능(AI) 기술은 인공신경망 방식의 딥러닝을 적용해 언어·이미지·음성 등에서 특징을 ‘식별’하는 기능 중심으로 발전해 오다가 최근 거대 언어 모델(Large Language Model, LLM)방식을 적용해 문서·이미지 등을 ‘생성(Generative)’하는 방식으로 발전하고 있다.
생성형 AI는 2022년 11월 출시된 미국 오픈AI의 챗GPT를 시작으로 대중의 관심을 받기 시작했으며, 최근에는 일상과 산업의 많은 부분에 생성형 AI가 적용되고 있어서 향후 생성형 AI가 산업 및 국가 경쟁력에 큰 영향을 미칠 것으로 보인다.
우리나라는 미국, 중국, 이스라엘과 함께 자체적으로 LLM을 개발·보유하고 있는 세계 4대 국가 중 하나로서 생성형 AI 육성을 전략적인 관점에서 고려해 볼 수 있는 상황이다. 생성형 AI를 선도하는 미국은 정부 지원보다는 민간기업의 적극적인 투자로 시장을 확장해 나가고 있으며, 유럽은 유럽의회 차원의 강력한 규제 설계로 대응하고 있다.
과학기술정보통신부는 생성형 AI 분야에서 국제 경쟁력을 높이기 위해 2023년 4월 14일 ‘초거대 인공지능(AI) 경쟁력 강화 방안’을 발표했다. 지금까지 각종 R&D를 통해 확보한 AI 분야 성과를 활용해 LLM 경쟁력을 강화하고, LLM 기반의 생성형 AI를 미래 전략산업으로 육성하는 것이 핵심 내용이며, 이를 위해 2023년에 3,901억원을 투입해 인프라 확충, 산업 육성, 법제도 정비 등을 추진하고 있다.
▲초거대 AI 경쟁력 강화 방안의 주요 내용[자료=과학기술정보방송통신위원회]
AI 윤리기준 등을 통해 생성형 AI가 초래하는 다양한 문제에 대한 대응책도 마련하고 있다. 정부는 2020년 12월 인간성을 위한 인공지능(AI for Humanity)에 관한 3대 원칙과 10대 요건으로 구성된 ‘인공지능(AI) 윤리기준’을 발표했다.
2022년 2월에는 ‘인공지능(AI) 윤리기준’을 발전시켜 AI 분야 종사자가 고려해야 할 요소와 이행방법을 35개 점검문항으로 제공한 ‘인공지능 윤리기준 실천을 위한 자율점검표’를 발표하고, 인공지능 제품·서비스 개발 시 기술적으로 고려해야 할 14개 요구사항과 이행 여부 확인을 위한 59개 검증 항목을 제공한 ‘신뢰할 수 있는 인공지능 개발 안내서’를 발간했다. 이외에도 국가인권위원회의 ‘인공지능 개발과 활용에 관한 인권 가이드라인 해설서’, 국정원의 ‘챗 GPT 등 생성형 AI 활용 보안 가이드라인’ 등 다양한 지침이 마련돼 있다.
이러한 노력에도 불구하고 미국계 생성형 AI 기업의 성장세가 강해 국내 LLM의 세계 시장 진출이 순조롭지 않고, 국내외적으로 제기되고 있는 생성형 AI의 우려사항에 대한 구체적인 대안도 마련돼 있지 않다.
미국과 중국의 AI 기술패권 경쟁 심화, 구글과 마이크로소프트의 생성형 AI 기반 검색엔진 경쟁 등으로 인해 생성형 AI와 LLM에 대한 투자가 급격하게 증가하고 있어 자체적으로 생성형 AI와 LLM을 개발하는 국내 기업이 위기를 맞았다는 분석이다.
한편, 생성형 AI가 갖고 있는 다양한 문제는 여전히 해결되지 않고 있어 향후 이용자 보호를 위한 제도 설계도 우려되고 있다. 대표적인 문제로는 생성형 AI를 악의적으로 사용하는 이용자 규제, 생성형 AI의 답변 오류 해소, 알고리즘에 의한 차별과 배제의 확대·재생산 제어, 생성형 AI 이용 및 학습 과정에서 개인정보 침해 및 중요기밀 누출 대응, 생성형 AI 적용으로 산업 내부에서 발생할 신구 서비스 간 갈등 대응, 생성형 AI와 저작권 문제 해결 등이 존재한다.
대기업의 LLM 개발에 대한 지원정책을 지속하면서, 중소·중견기업도 생성형 AI 시장에 적극 참가할 수 있도록 LLM을 이용한 응용서비스 개발 지원도 확대할 필요가 있다는 의견이 제시된다.
이 과정에서 분야별 생성형 AI 사업화를 위한 법·제도 개선이 병행돼야 한다. 생성형 AI로 인해 발생하는 갈등에 대해서는 △‘정보통신 진흥 및 융합 활성화 등에 관한 특별법’ 제7조제3항제5의 2호에 따라 이해관계 조정 및 갈등 관리에 관한 사항을 심의·의결하는 정보통신전략위원회를 활용하는 방안 △‘지능정보화 기본법’ 제56조에 따라 지능정보서비스의 사회적 영향평가를 거치도록 하는 방안 등을 검토할 수 있다.
외국의 규제입법과 현재 국회에 발의된 AI 규제에 관한 법률안을 종합적으로 검토해 우리 현실에 맞는 생성형 AI 규제 및 이용자 보호 체계를 마련해야 한다는 지적이 제기된다.
▲유럽연합 ‘디지털서비스법’상 온라인 플랫폼 서비스 관련 내용[자료=과학기술정보방송통신위원회]
디지털플랫폼 이용자 보호 방안
디지털 경제가 가속화되고 디지털플랫폼 서비스가 콘텐츠, 게시판, 상품 거래, 운송 등 다양한 유형에서 활발히 이뤄지면서 디지털플랫폼에서의 이용자 피해와 불공정 거래 행위에 대한 대응이 필요하다는 문제 제기가 지속되고 있다.
주요국은 디지털플랫폼에서의 이용자 보호를 강화하고 공정성을 확보하기 위한 입법 방안을 마련했다. EU는 디지털플랫폼 규제 체계로 2022년 ‘디지털시장법(Digital Market Act)’과 ‘디지털 서비스법(Digital Service Act)’ 입법을 마무리했다. ‘디지털시장법’은 게이트키퍼(gatekeeper) 역할을 하는 핵심 플랫폼 서비스 사업자가 시장을 장악하는 문제를 방지하기 위해 제정했다. ‘디지털서비스법’은 다양한 디지털 서비스가 등장하고 이용 양태가 변화하면서 디지털 서비스 제공자의 책임과 의무에 대한 새로운 규정이 필요하다고 인식해 제정했으며, 온라인플랫폼 서비스에 대해 일반 중개서비스보다 더 많은 의무를 부과하고 있다.
일본은 특정 디지털플랫폼이 계약 조건, 소비자 구매 데이터 이용 사항 등을 공개하도록 하는 ‘특정 디지털 플랫폼의 투명성 및 공정성 향상에 관한 법률(特定デジタルプラットフォームの透明性及び公正性の向上に関する法律)’, 플랫폼 거래 안전을 위한 ‘거래디지털 플랫폼을 이용하는 소비자의 이익 보호에 관한 법률(取引デジタルプラットフォームを利用する消費者の利益の保護に関する法律)’을 제정했다. 참고로 우리나라 국회에는 ‘온라인 플랫폼 중개거래의 공정화에 관한 법률안’, ‘온라인 플랫폼 이용자보호에 관한 법률안’, ‘온라인 플랫폼 기본법안’ 등이 발의돼 있다.
과학기술정보통신부·방송통신위원회·공정거래위원회는 자율규제 형식의 정책을 추진하고 있으며, 올해 5월 플랫폼 민간 자율기구의 ‘플랫폼 자율기구 자율규제 방안’을 발표했다. ‘갑을 분과’는 오픈마켓-입점판매자 간 거래관행 및 분쟁처리 절차 개선, 입점판매자와의 상생 방안 마련했으며, ‘소비자·이용 분과’는 오픈마켓에서의 소비자 피해 확산 방지를 위한 대응 마련, ‘데이터·AI 분과’는 검색·추천 기준 공개 등의 방안을 마련했다.
디지털플랫폼 환경에서 이용자 보호, 불공정 거래 행위 방지를 위한 입법 환경이 미흡하다는 국제적인 논의 동향을 이해하고, 자율규제 이행에 대한 현황을 파악해 필요한 사항에 대해서는 입법 및 정책 방안을 모색할 필요가 있다. 디지털플랫폼에서의 이용자 피해와 불공정 거래 행위에 대한 지속적인 실태조사가 필요하다. 디지털플랫폼과 관련해서 이용자 보호, 사업자 간 거래, 알고리즘 조정 등 여러 부처가 연관되는 만큼 부처 간 협의·조정에 따른 감독을 강화하고 협업 체계의 효율성을 높여야 한다는 지적이다.
▲민간분야 침해사고 신고 건수[자료=과학기술정보방송통신위원회]
사이버 침해사고 신고제도 실효성 제고
‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 제48조의3 및 제76조에 따르면 정보통신서비스 제공자는 침해사고가 발생하면 즉시 그 사실을 과학기술정보통신부 장관이나 한국인터넷진흥원(KISA)에 신고해야 하며, 이를 위반해 침해사고를 신고하지 않는 자에게는 1,000만원 이하의 과태료가 부과된다.
KISA에 2018년부터 2023년 5월까지 신고된 민간분야 침해사고 건수는 총 3,857건이었고, 2022년에는 적극적인 신고 안내로 신고건수가 크게 증가했다. 그런데, 과학기술정보통신부가 2018년부터 2023년 5월까지 침해사고 미신고와 관련해 과태료를 부과한 경우는 없었다.
침해사고를 당한 기업 대다수가 침해 사실을 알리고 있지 않아 침해사고 신고제도가 제대로 운영되지 않고 있기 때문에 침해사고 신고제도의 개선이 필요하다는 지적이 제기돼 왔다. 침해사고를 신고하지 않는 이유로는 ①보안 체계를 외부 기관에 점검받는 것과 개인정보 유출 관련 제재 처분에 따른 기업 이미지 하락 등에 대한 부담이 있고 ②신고의무 규정 자체를 모르거나 책임 소재가 불분명하며 ③신고하지 않아도 잘 적발되지 않고, 제재 사례가 드물어서라는 의견이 있다.
민간 부문의 사이버 침해사고 발생 시 신고가 이뤄지면 과학기술정보통신부와 KISA가 침해사고 원인을 분석하고 피해 확산 방지, 사고 대응, 복구 및 재발 방지 대책을 마련해 필요한 조치를 권고·이행하는데, 침해사고를 숨기는 경우 이러한 민간 사이버 위협 대응체계가 제대로 작동하지 않고, 피해가 확산될 수 있다.
한편, 과기정통부는 올해 4월 ‘엘지유플러스(LGU+) 침해사고 원인분석 결과 및 조치방안’에서 사이버위협에 신속히 대응할 수 있도록 법·제도 개선 추진 계획을 발표했다. 주요 내용으로는 개별 기업의 침해사고를 보다 빠르게 파악할 수 있도록 과기정통부의 자료 제출요구에 대한 법령상 규정을 보다 명확히 했다. 기존에는 ‘침해사고 원인분석 및 대책을 위해 서만’ 자료 제출을 요구할 수 있었으나 개선안에서는 ‘침해사고 정황 또는 징후가 명확한 사업자’에 게 자료 제출을 요구할 수 있도록 했다.
침해사고 사실이 외부로 공개되는 경우의 불이익 때문에 신고하지 않으려는 사업자를 위해 신고 내용과 신고 자료의 보호 근거를 마련했다. 침해사고가 발생해도 신고하지 않은 자에 대해서는 과태료를 기존 최대 1,000만원에서 최대 2,000만원까지 부과하도록 해 사업자의 침해사고 신고의무를 보다 강화했다. 이와 함께 사업자가 과학기술정보통신부의 침해사고 조치방안을 의무로 이행하도록 조치 이행점검 규정을 신설했다.
과기정통부는 피해 확산 방지, 사고대응, 복구 및 재발 방지 대책을 마련해 침해사고를 당한 사업자에게 필요한 조치를 하도록 권고할 수 있는데, 해당 권고 규정을 ‘권고 또는 명령’할 수 있도록 개정하고, 별도로 조치 이행 여부를 점검할 수 있도록 해 사업자가 재발 방지 대책을 실효적으로 이행하도록 했다.
2018년부터 2023년 5월까지 신고 의무 미이행에 대한 과태료 부과 실적이 없었음을 고려해 볼 때, 향후 과학기술정보통신부가 침해사고 신고의무 미이행 기업에 대한 조사 및 감독을 강화해 엄격하게 과태료를 부과할 필요가 있다.
2023년 4월 발표한 침해사고 관련 법·제도 개선 추진 계획 중 하나로 침해사고 미신고자에 대해 부과하는 과태료를 상향하는 내용이 포함돼 있으나, 과학기술정보통신부가 과태료를 엄격하게 부과하지 않는다면 과태료 상향 효과가 크지 않을 수 있다.
기업이 침해 사실을 신속하게 인지하지 못하거나 신고의무를 모르는 경우 조기 대응이 어려울 수 있으므로 침해사고 신고제도 등에 대한 홍보를 강화하고, 침해사고를 신고한 기업에 대한 지원을 보다 강화할 필요가 있다. 현재 침해사고를 신고한 기업에 대해 침해사고 원인분석 및 조치방법 안내 등의 피해확산 방지를 위한 기술지원을 하고 있는데, 이러한 지원을 보다 확대·강화해 피해 기업이 신고를 통한 실익을 체감할 수 있도록 해 적극적인 신고가 이루어질 수 있도록 유도할 필요가 있다는 것이다.
▲한국인터넷진흥원(KISA) 사이버침해 대응 인력 정원 현황[자료=과학기술정보방송통신위원회]
한편, 민간 기업의 사고에 대응하는 KISA 침해대응단은 수년째 인력이 120여명에 머무르고 있어 신고하더라도 KISA가 제대로 대응할 수 있는지에 대한 의문이 제기되고 있다. 이에 따라 침해사고에 대응하는 KISA 전담 조직을 확대할 필요가 있다는 의견이 제기되기도 한다.
KISA의 침해사고 대응은 사이버침해대응본부에서 총괄하고 있으며, 올해 사이버침해대응본부의 침해대응 인력 정원은 122명이다. 침해사고 신고 건수는 2018년 500건에서 2022년 1,142건으로 급증한 것에 비해 KISA의 침해대응 인력 정원 증가는 최근 5년간 6명에 불과해 침해사고 신고에 효과적으로 대응하기 위해서는 침해사고 대응을 위한 적정 인력 수준에 대한 분석 및 확보가 필요해 보인다.
과학기술정보통신부는 사이버 침해사고 신고제도의 실효성을 제고하기 위해 2023년 4월 발표한 침해사고 관련 법·제도 개선 추진 계획을 조속히 실행할 수 있도록 관련 법안 제출 등을 신속하게 진행할 필요가 있다는 의견이다.
[김영명 기자(boan@boannews.com)]
디지털플랫폼 이용자 보호 방안
사이버 침해사고 신고제도 실효성 제고
[보안뉴스 김영명 기자] 2023년 국정감사가 10월 10일부터 27일까지 진행된다. 올해 과학기술정보통신부의 국정감사에서는 △생성형 인공지능(AI) 육성·규제 및 윤리 △디지털플랫폼 이용자 보호 방안 등이 논의된다. 이에 <보안뉴스>는 미리보는 2023년 국정감사 시리즈에서 과기정통부의 디지털 정책 및 보안과 관련된 주요 이슈를 살펴본다.
[이미지=gettyimagesbank]
생성형 인공지능(AI) 육성·규제 및 윤리
인공지능(AI) 기술은 인공신경망 방식의 딥러닝을 적용해 언어·이미지·음성 등에서 특징을 ‘식별’하는 기능 중심으로 발전해 오다가 최근 거대 언어 모델(Large Language Model, LLM)방식을 적용해 문서·이미지 등을 ‘생성(Generative)’하는 방식으로 발전하고 있다.
생성형 AI는 2022년 11월 출시된 미국 오픈AI의 챗GPT를 시작으로 대중의 관심을 받기 시작했으며, 최근에는 일상과 산업의 많은 부분에 생성형 AI가 적용되고 있어서 향후 생성형 AI가 산업 및 국가 경쟁력에 큰 영향을 미칠 것으로 보인다.
우리나라는 미국, 중국, 이스라엘과 함께 자체적으로 LLM을 개발·보유하고 있는 세계 4대 국가 중 하나로서 생성형 AI 육성을 전략적인 관점에서 고려해 볼 수 있는 상황이다. 생성형 AI를 선도하는 미국은 정부 지원보다는 민간기업의 적극적인 투자로 시장을 확장해 나가고 있으며, 유럽은 유럽의회 차원의 강력한 규제 설계로 대응하고 있다.
과학기술정보통신부는 생성형 AI 분야에서 국제 경쟁력을 높이기 위해 2023년 4월 14일 ‘초거대 인공지능(AI) 경쟁력 강화 방안’을 발표했다. 지금까지 각종 R&D를 통해 확보한 AI 분야 성과를 활용해 LLM 경쟁력을 강화하고, LLM 기반의 생성형 AI를 미래 전략산업으로 육성하는 것이 핵심 내용이며, 이를 위해 2023년에 3,901억원을 투입해 인프라 확충, 산업 육성, 법제도 정비 등을 추진하고 있다.
▲초거대 AI 경쟁력 강화 방안의 주요 내용[자료=과학기술정보방송통신위원회]
AI 윤리기준 등을 통해 생성형 AI가 초래하는 다양한 문제에 대한 대응책도 마련하고 있다. 정부는 2020년 12월 인간성을 위한 인공지능(AI for Humanity)에 관한 3대 원칙과 10대 요건으로 구성된 ‘인공지능(AI) 윤리기준’을 발표했다.
2022년 2월에는 ‘인공지능(AI) 윤리기준’을 발전시켜 AI 분야 종사자가 고려해야 할 요소와 이행방법을 35개 점검문항으로 제공한 ‘인공지능 윤리기준 실천을 위한 자율점검표’를 발표하고, 인공지능 제품·서비스 개발 시 기술적으로 고려해야 할 14개 요구사항과 이행 여부 확인을 위한 59개 검증 항목을 제공한 ‘신뢰할 수 있는 인공지능 개발 안내서’를 발간했다. 이외에도 국가인권위원회의 ‘인공지능 개발과 활용에 관한 인권 가이드라인 해설서’, 국정원의 ‘챗 GPT 등 생성형 AI 활용 보안 가이드라인’ 등 다양한 지침이 마련돼 있다.
이러한 노력에도 불구하고 미국계 생성형 AI 기업의 성장세가 강해 국내 LLM의 세계 시장 진출이 순조롭지 않고, 국내외적으로 제기되고 있는 생성형 AI의 우려사항에 대한 구체적인 대안도 마련돼 있지 않다.
미국과 중국의 AI 기술패권 경쟁 심화, 구글과 마이크로소프트의 생성형 AI 기반 검색엔진 경쟁 등으로 인해 생성형 AI와 LLM에 대한 투자가 급격하게 증가하고 있어 자체적으로 생성형 AI와 LLM을 개발하는 국내 기업이 위기를 맞았다는 분석이다.
한편, 생성형 AI가 갖고 있는 다양한 문제는 여전히 해결되지 않고 있어 향후 이용자 보호를 위한 제도 설계도 우려되고 있다. 대표적인 문제로는 생성형 AI를 악의적으로 사용하는 이용자 규제, 생성형 AI의 답변 오류 해소, 알고리즘에 의한 차별과 배제의 확대·재생산 제어, 생성형 AI 이용 및 학습 과정에서 개인정보 침해 및 중요기밀 누출 대응, 생성형 AI 적용으로 산업 내부에서 발생할 신구 서비스 간 갈등 대응, 생성형 AI와 저작권 문제 해결 등이 존재한다.
대기업의 LLM 개발에 대한 지원정책을 지속하면서, 중소·중견기업도 생성형 AI 시장에 적극 참가할 수 있도록 LLM을 이용한 응용서비스 개발 지원도 확대할 필요가 있다는 의견이 제시된다.
이 과정에서 분야별 생성형 AI 사업화를 위한 법·제도 개선이 병행돼야 한다. 생성형 AI로 인해 발생하는 갈등에 대해서는 △‘정보통신 진흥 및 융합 활성화 등에 관한 특별법’ 제7조제3항제5의 2호에 따라 이해관계 조정 및 갈등 관리에 관한 사항을 심의·의결하는 정보통신전략위원회를 활용하는 방안 △‘지능정보화 기본법’ 제56조에 따라 지능정보서비스의 사회적 영향평가를 거치도록 하는 방안 등을 검토할 수 있다.
외국의 규제입법과 현재 국회에 발의된 AI 규제에 관한 법률안을 종합적으로 검토해 우리 현실에 맞는 생성형 AI 규제 및 이용자 보호 체계를 마련해야 한다는 지적이 제기된다.
▲유럽연합 ‘디지털서비스법’상 온라인 플랫폼 서비스 관련 내용[자료=과학기술정보방송통신위원회]
디지털플랫폼 이용자 보호 방안
디지털 경제가 가속화되고 디지털플랫폼 서비스가 콘텐츠, 게시판, 상품 거래, 운송 등 다양한 유형에서 활발히 이뤄지면서 디지털플랫폼에서의 이용자 피해와 불공정 거래 행위에 대한 대응이 필요하다는 문제 제기가 지속되고 있다.
주요국은 디지털플랫폼에서의 이용자 보호를 강화하고 공정성을 확보하기 위한 입법 방안을 마련했다. EU는 디지털플랫폼 규제 체계로 2022년 ‘디지털시장법(Digital Market Act)’과 ‘디지털 서비스법(Digital Service Act)’ 입법을 마무리했다. ‘디지털시장법’은 게이트키퍼(gatekeeper) 역할을 하는 핵심 플랫폼 서비스 사업자가 시장을 장악하는 문제를 방지하기 위해 제정했다. ‘디지털서비스법’은 다양한 디지털 서비스가 등장하고 이용 양태가 변화하면서 디지털 서비스 제공자의 책임과 의무에 대한 새로운 규정이 필요하다고 인식해 제정했으며, 온라인플랫폼 서비스에 대해 일반 중개서비스보다 더 많은 의무를 부과하고 있다.
일본은 특정 디지털플랫폼이 계약 조건, 소비자 구매 데이터 이용 사항 등을 공개하도록 하는 ‘특정 디지털 플랫폼의 투명성 및 공정성 향상에 관한 법률(特定デジタルプラットフォームの透明性及び公正性の向上に関する法律)’, 플랫폼 거래 안전을 위한 ‘거래디지털 플랫폼을 이용하는 소비자의 이익 보호에 관한 법률(取引デジタルプラットフォームを利用する消費者の利益の保護に関する法律)’을 제정했다. 참고로 우리나라 국회에는 ‘온라인 플랫폼 중개거래의 공정화에 관한 법률안’, ‘온라인 플랫폼 이용자보호에 관한 법률안’, ‘온라인 플랫폼 기본법안’ 등이 발의돼 있다.
과학기술정보통신부·방송통신위원회·공정거래위원회는 자율규제 형식의 정책을 추진하고 있으며, 올해 5월 플랫폼 민간 자율기구의 ‘플랫폼 자율기구 자율규제 방안’을 발표했다. ‘갑을 분과’는 오픈마켓-입점판매자 간 거래관행 및 분쟁처리 절차 개선, 입점판매자와의 상생 방안 마련했으며, ‘소비자·이용 분과’는 오픈마켓에서의 소비자 피해 확산 방지를 위한 대응 마련, ‘데이터·AI 분과’는 검색·추천 기준 공개 등의 방안을 마련했다.
디지털플랫폼 환경에서 이용자 보호, 불공정 거래 행위 방지를 위한 입법 환경이 미흡하다는 국제적인 논의 동향을 이해하고, 자율규제 이행에 대한 현황을 파악해 필요한 사항에 대해서는 입법 및 정책 방안을 모색할 필요가 있다. 디지털플랫폼에서의 이용자 피해와 불공정 거래 행위에 대한 지속적인 실태조사가 필요하다. 디지털플랫폼과 관련해서 이용자 보호, 사업자 간 거래, 알고리즘 조정 등 여러 부처가 연관되는 만큼 부처 간 협의·조정에 따른 감독을 강화하고 협업 체계의 효율성을 높여야 한다는 지적이다.
▲민간분야 침해사고 신고 건수[자료=과학기술정보방송통신위원회]
사이버 침해사고 신고제도 실효성 제고
‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 제48조의3 및 제76조에 따르면 정보통신서비스 제공자는 침해사고가 발생하면 즉시 그 사실을 과학기술정보통신부 장관이나 한국인터넷진흥원(KISA)에 신고해야 하며, 이를 위반해 침해사고를 신고하지 않는 자에게는 1,000만원 이하의 과태료가 부과된다.
KISA에 2018년부터 2023년 5월까지 신고된 민간분야 침해사고 건수는 총 3,857건이었고, 2022년에는 적극적인 신고 안내로 신고건수가 크게 증가했다. 그런데, 과학기술정보통신부가 2018년부터 2023년 5월까지 침해사고 미신고와 관련해 과태료를 부과한 경우는 없었다.
침해사고를 당한 기업 대다수가 침해 사실을 알리고 있지 않아 침해사고 신고제도가 제대로 운영되지 않고 있기 때문에 침해사고 신고제도의 개선이 필요하다는 지적이 제기돼 왔다. 침해사고를 신고하지 않는 이유로는 ①보안 체계를 외부 기관에 점검받는 것과 개인정보 유출 관련 제재 처분에 따른 기업 이미지 하락 등에 대한 부담이 있고 ②신고의무 규정 자체를 모르거나 책임 소재가 불분명하며 ③신고하지 않아도 잘 적발되지 않고, 제재 사례가 드물어서라는 의견이 있다.
민간 부문의 사이버 침해사고 발생 시 신고가 이뤄지면 과학기술정보통신부와 KISA가 침해사고 원인을 분석하고 피해 확산 방지, 사고 대응, 복구 및 재발 방지 대책을 마련해 필요한 조치를 권고·이행하는데, 침해사고를 숨기는 경우 이러한 민간 사이버 위협 대응체계가 제대로 작동하지 않고, 피해가 확산될 수 있다.
한편, 과기정통부는 올해 4월 ‘엘지유플러스(LGU+) 침해사고 원인분석 결과 및 조치방안’에서 사이버위협에 신속히 대응할 수 있도록 법·제도 개선 추진 계획을 발표했다. 주요 내용으로는 개별 기업의 침해사고를 보다 빠르게 파악할 수 있도록 과기정통부의 자료 제출요구에 대한 법령상 규정을 보다 명확히 했다. 기존에는 ‘침해사고 원인분석 및 대책을 위해 서만’ 자료 제출을 요구할 수 있었으나 개선안에서는 ‘침해사고 정황 또는 징후가 명확한 사업자’에 게 자료 제출을 요구할 수 있도록 했다.
침해사고 사실이 외부로 공개되는 경우의 불이익 때문에 신고하지 않으려는 사업자를 위해 신고 내용과 신고 자료의 보호 근거를 마련했다. 침해사고가 발생해도 신고하지 않은 자에 대해서는 과태료를 기존 최대 1,000만원에서 최대 2,000만원까지 부과하도록 해 사업자의 침해사고 신고의무를 보다 강화했다. 이와 함께 사업자가 과학기술정보통신부의 침해사고 조치방안을 의무로 이행하도록 조치 이행점검 규정을 신설했다.
과기정통부는 피해 확산 방지, 사고대응, 복구 및 재발 방지 대책을 마련해 침해사고를 당한 사업자에게 필요한 조치를 하도록 권고할 수 있는데, 해당 권고 규정을 ‘권고 또는 명령’할 수 있도록 개정하고, 별도로 조치 이행 여부를 점검할 수 있도록 해 사업자가 재발 방지 대책을 실효적으로 이행하도록 했다.
2018년부터 2023년 5월까지 신고 의무 미이행에 대한 과태료 부과 실적이 없었음을 고려해 볼 때, 향후 과학기술정보통신부가 침해사고 신고의무 미이행 기업에 대한 조사 및 감독을 강화해 엄격하게 과태료를 부과할 필요가 있다.
2023년 4월 발표한 침해사고 관련 법·제도 개선 추진 계획 중 하나로 침해사고 미신고자에 대해 부과하는 과태료를 상향하는 내용이 포함돼 있으나, 과학기술정보통신부가 과태료를 엄격하게 부과하지 않는다면 과태료 상향 효과가 크지 않을 수 있다.
기업이 침해 사실을 신속하게 인지하지 못하거나 신고의무를 모르는 경우 조기 대응이 어려울 수 있으므로 침해사고 신고제도 등에 대한 홍보를 강화하고, 침해사고를 신고한 기업에 대한 지원을 보다 강화할 필요가 있다. 현재 침해사고를 신고한 기업에 대해 침해사고 원인분석 및 조치방법 안내 등의 피해확산 방지를 위한 기술지원을 하고 있는데, 이러한 지원을 보다 확대·강화해 피해 기업이 신고를 통한 실익을 체감할 수 있도록 해 적극적인 신고가 이루어질 수 있도록 유도할 필요가 있다는 것이다.
▲한국인터넷진흥원(KISA) 사이버침해 대응 인력 정원 현황[자료=과학기술정보방송통신위원회]
한편, 민간 기업의 사고에 대응하는 KISA 침해대응단은 수년째 인력이 120여명에 머무르고 있어 신고하더라도 KISA가 제대로 대응할 수 있는지에 대한 의문이 제기되고 있다. 이에 따라 침해사고에 대응하는 KISA 전담 조직을 확대할 필요가 있다는 의견이 제기되기도 한다.
KISA의 침해사고 대응은 사이버침해대응본부에서 총괄하고 있으며, 올해 사이버침해대응본부의 침해대응 인력 정원은 122명이다. 침해사고 신고 건수는 2018년 500건에서 2022년 1,142건으로 급증한 것에 비해 KISA의 침해대응 인력 정원 증가는 최근 5년간 6명에 불과해 침해사고 신고에 효과적으로 대응하기 위해서는 침해사고 대응을 위한 적정 인력 수준에 대한 분석 및 확보가 필요해 보인다.
과학기술정보통신부는 사이버 침해사고 신고제도의 실효성을 제고하기 위해 2023년 4월 발표한 침해사고 관련 법·제도 개선 추진 계획을 조속히 실행할 수 있도록 관련 법안 제출 등을 신속하게 진행할 필요가 있다는 의견이다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
