현실적인 정부 리소스와 기업 역량 등 면밀히 고려해야
[보안뉴스 강현주 기자] SK텔레콤과 예스24 침해 사고를 계기로, 해킹 공격을 당한 기업에 대해 정부 기술 지원 등 개입을 의무화해야 한다는 목소리가 나온다. 하지만 실현 가능성 없는 무리수가 될 수 있다는 ‘신중론’도 만만치 않다.
18일 정보보호 분야 전문가들 사이에선 기업 해킹 시 당국 개입 의무화가 기업과 정부 모두에 큰 부담과 비효율을 초래할 수 있다는 우려가 나온다. 국민 피해 대응을 강화한다는 취지 자체는 바람직하지만 현실성과 실효성을 생각해야 한다는 것이다.
정부 개입 의무화 목소리는 SK텔레콤에 이어 예스24도 사이버 공격을 당한 후 한국인터넷진흥원(KISA)의 기술 지원을 거부해 논란이 되면서 커졌다.
SKT는 4월 20일 해킹 신고 당시 기술 지원 KISA의 기술 지원을 거부했다가 나중에야 응했다. 예스24 역시 처음엔 KISA 기술지원을 거부하다 현재는 협조하고 있다. 이에 “자체 조사를 고집하다 일을 키웠다”는 비난을 받았다. 랜섬웨어 공격을 처음 당한 9일 이후 열흘 가까이 지난 지금도 서비스가 100% 복구되지 않고 있기 때문이다.
이에 따라 기업이 해킹 공격을 당했을 때 정부 기술 지원 개입을 의무화해야 한다는 여론이 형성됐다. 국회에서도 관련 움직임이 활발하다.
최근 최수진 국민의힘 의원은 “정보통신망법 개정 등을 통해 국민적 피해가 큰 해킹 사건에 대한 당국 조사와 협력을 위한 법적 근거를 마련하는 방안을 검토 중”이라고 밝혔다.
이해민 조국혁신당 의원도 ‘이행강제금 도입법안’을 발의했다. 정부의 침해 사고 조사 과정에서 사업자가 자료 제출을 거부하거나 허위 자료를 제출할 경우 매출과 연계한 이행강제금을 부과한다는 내용이다.
기업 해킹으로 국가나 소비자가 겪을 피해를 생각하면 정부와 기업의 책임을 강화해야 한다는 취지에는 이견이 없다. 다만 당국 조사 강제 이행 같은 ‘의무화’ 추진은 무리일 수 있다는 지적이 나온다.
정부 리소스 차원에서도 신중해야 한다는 관점이 제기된다. 법조계 한 전문가는 “의무화 적용 기준을 ‘침해 시’로 할지 ‘정보 유출 시’로 할지에 따라 다를 텐데, 침해의 경우 연간 백만 건에 가깝게 일어나는 데 매번 기술 지원을 하려면 현재 KISA 담당 인원의 몇 백배는 늘려야 할 것”이라고 말했다.
현재는 사이버 공격을 당한 기업이 자율적으로 판단해 기술 지원 요청을 하면 KISA에서 지원하는 방식이다. 자체 판단으로 요청하지 않거나, 지원 제안을 거절하는 기업들에 강제이행하지는 않는다. 이런 형태로 20년 가까이 진행해오다 보니 KISA 리소스와 기업 수요가 균형을 맞춘 상황이다.
이 전문가는 “기업 해킹 대응책을 강화한다는 취지는 좋지만, 법제화 추진을 한다면 정부 기술력과 인력 등 여러 요소를 고려하고 실현 가능성을 면밀히 판단해야 할 것”이라고 강조했다.
기업 입장에서도 정부의 강제 개입은 비효율을 초래할 수 있다. 중소기업 수준에선 정부 지원을 받는 것이 유리하다. 다만 기술 지원을 받는다는 것은 기업 해킹 이슈가 공개된다는 의미이기도 하다. 기업 정보를 제공하고 통제 받는다는 부담도 따르는 만큼 역량이 충분한 기업에 무리하게 강제할 필요는 없다는 의견이 우세하다.
염흥렬 순천향대 정보보호학과 명예교수는 “자율적으로 점검할 역량이 뛰어난 기업에게까지 무조건 기술 지원을 강제할 필요는 없다”며 “인력이나 역량이 부족한 기업들에 제시한다면 받아들이는 것도 좋을 것”이라고 말했다. 민간의 뛰어난 역량을 활용하고, 부족한 기업은 지원하는 형태가 민관협력을 통한 사이버 공격 대응 차원에서도 부합한다는 설명이다.
염 교수는 “정보통신망법을 통한 의무화를 추진한다면 기업 규모와 IT 인력, 팀의 역량 등에 따라 기술 지원 대상인지 세세하게 정의하고 구체적 기준을 논의하는 것부터 시작해야 할 것”이라고 말했다.
[강현주 기자(jjoo@boannews.com)]
[보안뉴스 강현주 기자] SK텔레콤과 예스24 침해 사고를 계기로, 해킹 공격을 당한 기업에 대해 정부 기술 지원 등 개입을 의무화해야 한다는 목소리가 나온다. 하지만 실현 가능성 없는 무리수가 될 수 있다는 ‘신중론’도 만만치 않다.
18일 정보보호 분야 전문가들 사이에선 기업 해킹 시 당국 개입 의무화가 기업과 정부 모두에 큰 부담과 비효율을 초래할 수 있다는 우려가 나온다. 국민 피해 대응을 강화한다는 취지 자체는 바람직하지만 현실성과 실효성을 생각해야 한다는 것이다.
정부 개입 의무화 목소리는 SK텔레콤에 이어 예스24도 사이버 공격을 당한 후 한국인터넷진흥원(KISA)의 기술 지원을 거부해 논란이 되면서 커졌다.
SKT는 4월 20일 해킹 신고 당시 기술 지원 KISA의 기술 지원을 거부했다가 나중에야 응했다. 예스24 역시 처음엔 KISA 기술지원을 거부하다 현재는 협조하고 있다. 이에 “자체 조사를 고집하다 일을 키웠다”는 비난을 받았다. 랜섬웨어 공격을 처음 당한 9일 이후 열흘 가까이 지난 지금도 서비스가 100% 복구되지 않고 있기 때문이다.
이에 따라 기업이 해킹 공격을 당했을 때 정부 기술 지원 개입을 의무화해야 한다는 여론이 형성됐다. 국회에서도 관련 움직임이 활발하다.
최근 최수진 국민의힘 의원은 “정보통신망법 개정 등을 통해 국민적 피해가 큰 해킹 사건에 대한 당국 조사와 협력을 위한 법적 근거를 마련하는 방안을 검토 중”이라고 밝혔다.
이해민 조국혁신당 의원도 ‘이행강제금 도입법안’을 발의했다. 정부의 침해 사고 조사 과정에서 사업자가 자료 제출을 거부하거나 허위 자료를 제출할 경우 매출과 연계한 이행강제금을 부과한다는 내용이다.
기업 해킹으로 국가나 소비자가 겪을 피해를 생각하면 정부와 기업의 책임을 강화해야 한다는 취지에는 이견이 없다. 다만 당국 조사 강제 이행 같은 ‘의무화’ 추진은 무리일 수 있다는 지적이 나온다.
정부 리소스 차원에서도 신중해야 한다는 관점이 제기된다. 법조계 한 전문가는 “의무화 적용 기준을 ‘침해 시’로 할지 ‘정보 유출 시’로 할지에 따라 다를 텐데, 침해의 경우 연간 백만 건에 가깝게 일어나는 데 매번 기술 지원을 하려면 현재 KISA 담당 인원의 몇 백배는 늘려야 할 것”이라고 말했다.
현재는 사이버 공격을 당한 기업이 자율적으로 판단해 기술 지원 요청을 하면 KISA에서 지원하는 방식이다. 자체 판단으로 요청하지 않거나, 지원 제안을 거절하는 기업들에 강제이행하지는 않는다. 이런 형태로 20년 가까이 진행해오다 보니 KISA 리소스와 기업 수요가 균형을 맞춘 상황이다.
이 전문가는 “기업 해킹 대응책을 강화한다는 취지는 좋지만, 법제화 추진을 한다면 정부 기술력과 인력 등 여러 요소를 고려하고 실현 가능성을 면밀히 판단해야 할 것”이라고 강조했다.
기업 입장에서도 정부의 강제 개입은 비효율을 초래할 수 있다. 중소기업 수준에선 정부 지원을 받는 것이 유리하다. 다만 기술 지원을 받는다는 것은 기업 해킹 이슈가 공개된다는 의미이기도 하다. 기업 정보를 제공하고 통제 받는다는 부담도 따르는 만큼 역량이 충분한 기업에 무리하게 강제할 필요는 없다는 의견이 우세하다.
염흥렬 순천향대 정보보호학과 명예교수는 “자율적으로 점검할 역량이 뛰어난 기업에게까지 무조건 기술 지원을 강제할 필요는 없다”며 “인력이나 역량이 부족한 기업들에 제시한다면 받아들이는 것도 좋을 것”이라고 말했다. 민간의 뛰어난 역량을 활용하고, 부족한 기업은 지원하는 형태가 민관협력을 통한 사이버 공격 대응 차원에서도 부합한다는 설명이다.
염 교수는 “정보통신망법을 통한 의무화를 추진한다면 기업 규모와 IT 인력, 팀의 역량 등에 따라 기술 지원 대상인지 세세하게 정의하고 구체적 기준을 논의하는 것부터 시작해야 할 것”이라고 말했다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
