KISA에 “적극적 진상 파악, 침해사고 신고 등 대응 절차 홍보 강화해야” 촉구

[보안뉴스 강현주 기자] 최근 명품 브랜드 디올이 개인정보 유출 사고를 당하고도 관련 기관 신고 의무를 제대로 하지 않았다는 지적이 나왔다.

최수진 국민의힘 의원은 14일 “디올이 고객 정보 유출 사실을 한국인터넷진흥원(KISA)에 신고하지 않았다”며 “이는 침해사고 발생 사실을 즉시 신고할 것을 규정한 정보통신법 위반으로 3000만원 이하 과태료 처벌 대상”이라고 주장했다.


[자료: 연합]

최수진 의원실에 따르면, 디올은 이번 해킹 발생 후 개인정보보호위원회 신고는 마쳤지만 KISA에는 아무 조처를 하지 않았다.

디올은 13일 홈페이지 고지를 통해 “외부의 권한 없는 제3자가 디올 고객의 일부 데이터에 접근한 사실을 지난 7일 발견했다. 영향을 받은 데이터에는 고객의 연락처 정보와 구매·선호 데이터가 포함된다”며 해킹 사실을 밝힌 바 있다.

이번 사건은 디올 본사에서 공격이 발생해 국내 이용자들의 정보가 누출된 사고다. 디올 본사는 해외 법인으로 국내 법인인 디올코리아와는 다르다. 하지만 현행법상 국내 이용자 피해가 발생하면 KISA 신고 대상에 해당한다.

정보통신망법 제48조 3항에 따르면 정보통신서비스 제공자는 침해사고가 발생하면 그 사실을 과학기술정보통신부장관이나 KISA에 즉시 신고해야 한다. 같은 법 5조 2항에서는 국외에서 이뤄진 행위라도 국내 시장 또는 이용자에게 영향을 미치는 경우 해당법을 적용하도록 명시하고 있다. 해킹이 발생했는데도 신고하지 않을 경우 3000만원 이하 과태료를 물 수 있다.

최 의원은 앞서 SKT에 대해서도 유심 해킹 관련해 늦장 신고를 했다고 지적한 바 있다. 정보통신망법에 따르면 정보통신서비스 제공자가 침해사고가 발생한 것을 알게 된 때로부터 24시간 이내에 사고 발생 일시와 원인, 피해 내용 등을 과학기술정보통신부장관이나 KISA에 신고해야 한다. 하지만 SKT는 해킹 이틀 후에야 신고를 했다는 게 최 의원측 설명이다.

최 의원은 “KISA는 신고 업무와 관련해 업계에 정책 홍보를 강화할 필요가 있다”며 “해킹 사건이 빈번해지는 가운데 KISA의 적극적 진상 파악과 협력을 통해 정부가 적극적으로 문제 해결에 나서야 한다”고 밝혔다.

한편 KISA는 SKT 침해 사고 신고 관련 “일부 혼선이 있었다”며 “신고 과정에서의 혼선과 오류, 설명 부족 등이 재발하지 않도록 보완하고, 정보보호·디지털 전문기관으로서 신속한 대응과 투명한 정보 공유를 약속한다”고 입장을 밝힌 바 있다.

[강현주 기자(jjoo@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>