.gif)
3줄 요약
1. 침해 정황 시 신고없이도 조사 가능하도록 법개정 추진
2. “은폐 방지에는 바람직하지만 반드시 ‘지원’에 초점둬야” 목소리
3. “충분한 사전 소통으로 조사 범위 세심하게 정해야”
[보안뉴스 강현주 기자] 기업 해킹 사고가 터졌을 때 정부가 신고 없이도 조사할 수 있는 제도를 본격 추진하는 것을 두고 “질타가 아닌 사고 극복 지원에 초점을 둬야 한다”는 목소리가 커지고 있다.
23일 업계와 학계, 법조계 보안 분야 전문가들 사이에서는 기업 사이버 침해 사고에 대한 정부 직권조사 추진을 두고 기대와 우려가 공존하고 있다. “은폐 방지와 대응 지원 차원에서 이뤄진다면 바람직하지만, 질타가 중심이 된다면 역효과”라는 게 중론이다.
사고 ‘극복’을 위해 꼭 필요한 권한은 확보해야 한다는 취지에는 공감하지만, 정부 조사라 하면 공포부터 생긴다는 정서가 존재하는 실정이다.
▲‘침해사고 조사심의위원회 설치법’을 대표 발의한 최민희 의원 [자료: 연합]
국회와 정부 모두 정부 조사권 강화 추진
앞서 19일 과학기술정보통신부는 브리핑에서 “기업이 고의적으로 침해 사실을 지연 신고하거나 신고하지 않을 경우 과태료 등 처분을 강화하고 기업 신고 없이도 정황을 확보한 경우 정부가 철저히 조사할 수 있도록 제도를 개선할 것”이라고 밝혔다.
이어 22일 개인정보보호위원회는 “개인정보 유출 조사 대상자가 제대로 협조하지 않는 경우 자료제출명령과 같은 강제력 확보 방안을 마련해 침해 위협에 선제 대응할 수 있는 신속하고 정확한 조사 체계를 구축한다”고 밝혔다.
침해 사고의 경우 과기정통부 산하 한국인터넷진흥원(KISA)이, 개인정보 유출의 경우 개인정보위가 조사한다. 두 부처 발표 모두 조사권 강화를 추진하겠다는 게 공통점이다.
국회 과학기술정보방송통신위원장 최민희 의원도 15일 ‘침해사고 조사심의위원회 설치법’을 대표 발의했다. 침해 정황 조사가 필요하다고 판단되면 심의위원회가 기업에 사고 여부 및 원인을 파악하도록 조치할 수 있다는 내용이다. 자진신고 회피를 원천 차단하고 해킹에 신속하게 대응하기 위함이라는 설명이다.
CISO들 “정부 조사 필요성 알지만 공포스러운 게 사실”
이 같은 정부 및 국회의 움직임에 대해 각계 보안 전문가들은 취지 자체는 공감하는 한편 우려도 공존한다. 은폐 차단과 신고 회피 방지를 위해 필요하다는 데는 이견이 없다. 하지만 질타 중심의 조사가 강화될 수 있다는 우려도 제기된다. 특히 기업 보안 담당자들 사이에서는 ‘공포감’이 확산되는 실정이다.
과거 기업 해킹 사고 대응 경험이 있는 한 CISO는 “침해 사고를 당했을 때 대응해야 할 핵심 인력이 정부 기관들의 중복적 조사에 대응하는 데 근무시간을 다 할애하고, 정작 사고 후 회복을 위한 본연의 업무는 밤부터 시작해 새벽까지 매일매일 해야 했고 하루에 몇시간도 잘 수 없었다”며 “그렇게 수개월에서 1년을 보내며 온갖 질타를 다 받아야 한다면 누가 보안 담당자 자리에 오려 하겠나”고 말했다.
이 CISO는 “해킹 사고를 고의로 은폐해 피해를 확산 시키는 것을 방지하기 위한 취지라면 직권조사가 필요할 수 있겠지만 잘못을 끄집어 내기 위함이 아닌, 회복을 도와주는 데 초점을 둬야 한다”고 지적했다.
CISO들은 23일 오전 류제명 과기정통부 제2차관과 국내 주요 CISO들이 가진 긴급회의에서도 이 같은 의견을 입을 모아 전달한 것으로 알려졌다.
“질타와 처벌보다 지원 연계 선순환...조사 근거 객관성 필요”
조사 권한 남용 우려가 충분히 불식돼야 한다는 의견도 제기된다. 이를 위해 기업 신고 없이 직권 조사를 결정할 때 근거가 되는 ‘정황’에 대한 객관성을 철저히 유지해야 한다는 것이다.
법조계 한 보안 전문가는 “기업 자진 신고 없이 조사를 진행할 경우 트리거가 되는 사항의 객관성 유지가 필요하다”며 “혐의나 의심만으로 권한이 남용돼선 안되며, 다크웹 게시나 민원, 투고 등이 충분한 정황이 되는지 그 신빙성을 따져보고 권한이 발동돼야 할 것”이라고 말했다.
그는 이어 “조사 범위 역시 적정선에 대한 연구가 선행돼야 한다”고 강조했다.
학계 역시 정부의 조사 권한 강화 움직임에 대해 피해 예방과 극복 강화라는 취지를 실질적으로 이룰 수 있어야 한다는 의견이다. 기업 부담만 증가시키는 조사 강화는 의미 없고, 정부의 지원 제도 활용을 늘이는 등 선순환이 이뤄져야 한다는 것이다.
장항배 중앙대학교 산업보안학과 교수는 “심각해지는 기업 사이버 위협에 대해 정부가 개선된 제도를 마련하려는 움직임은 바람직하다”며 “제도는 어떤 자세로 적용되는지가 중요한데, 조사해서 처벌하는 데만 중심을 둔다면 본연의 취지를 이루는데 도움이 되지 않으며, 지원에 초점을 둬야할 것”이라고 밝혔다.
장 교수는 “조사 과정에서 기업에게 정책적·금전적 지원 등을 잘 연계해주고 빠른 회복을 할 수 있는 선순환을 만들어야 한다”며 “조사 범위 역시 충분한 사전 소통을 통해 합리적으로 설정돼야 할 것”이라고 제언했다.
[강현주 기자(jjoo@boannews.com)]
1. 침해 정황 시 신고없이도 조사 가능하도록 법개정 추진
2. “은폐 방지에는 바람직하지만 반드시 ‘지원’에 초점둬야” 목소리
3. “충분한 사전 소통으로 조사 범위 세심하게 정해야”
[보안뉴스 강현주 기자] 기업 해킹 사고가 터졌을 때 정부가 신고 없이도 조사할 수 있는 제도를 본격 추진하는 것을 두고 “질타가 아닌 사고 극복 지원에 초점을 둬야 한다”는 목소리가 커지고 있다.
23일 업계와 학계, 법조계 보안 분야 전문가들 사이에서는 기업 사이버 침해 사고에 대한 정부 직권조사 추진을 두고 기대와 우려가 공존하고 있다. “은폐 방지와 대응 지원 차원에서 이뤄진다면 바람직하지만, 질타가 중심이 된다면 역효과”라는 게 중론이다.
사고 ‘극복’을 위해 꼭 필요한 권한은 확보해야 한다는 취지에는 공감하지만, 정부 조사라 하면 공포부터 생긴다는 정서가 존재하는 실정이다.
▲‘침해사고 조사심의위원회 설치법’을 대표 발의한 최민희 의원 [자료: 연합]
국회와 정부 모두 정부 조사권 강화 추진
앞서 19일 과학기술정보통신부는 브리핑에서 “기업이 고의적으로 침해 사실을 지연 신고하거나 신고하지 않을 경우 과태료 등 처분을 강화하고 기업 신고 없이도 정황을 확보한 경우 정부가 철저히 조사할 수 있도록 제도를 개선할 것”이라고 밝혔다.
이어 22일 개인정보보호위원회는 “개인정보 유출 조사 대상자가 제대로 협조하지 않는 경우 자료제출명령과 같은 강제력 확보 방안을 마련해 침해 위협에 선제 대응할 수 있는 신속하고 정확한 조사 체계를 구축한다”고 밝혔다.
침해 사고의 경우 과기정통부 산하 한국인터넷진흥원(KISA)이, 개인정보 유출의 경우 개인정보위가 조사한다. 두 부처 발표 모두 조사권 강화를 추진하겠다는 게 공통점이다.
국회 과학기술정보방송통신위원장 최민희 의원도 15일 ‘침해사고 조사심의위원회 설치법’을 대표 발의했다. 침해 정황 조사가 필요하다고 판단되면 심의위원회가 기업에 사고 여부 및 원인을 파악하도록 조치할 수 있다는 내용이다. 자진신고 회피를 원천 차단하고 해킹에 신속하게 대응하기 위함이라는 설명이다.
CISO들 “정부 조사 필요성 알지만 공포스러운 게 사실”
이 같은 정부 및 국회의 움직임에 대해 각계 보안 전문가들은 취지 자체는 공감하는 한편 우려도 공존한다. 은폐 차단과 신고 회피 방지를 위해 필요하다는 데는 이견이 없다. 하지만 질타 중심의 조사가 강화될 수 있다는 우려도 제기된다. 특히 기업 보안 담당자들 사이에서는 ‘공포감’이 확산되는 실정이다.
과거 기업 해킹 사고 대응 경험이 있는 한 CISO는 “침해 사고를 당했을 때 대응해야 할 핵심 인력이 정부 기관들의 중복적 조사에 대응하는 데 근무시간을 다 할애하고, 정작 사고 후 회복을 위한 본연의 업무는 밤부터 시작해 새벽까지 매일매일 해야 했고 하루에 몇시간도 잘 수 없었다”며 “그렇게 수개월에서 1년을 보내며 온갖 질타를 다 받아야 한다면 누가 보안 담당자 자리에 오려 하겠나”고 말했다.
이 CISO는 “해킹 사고를 고의로 은폐해 피해를 확산 시키는 것을 방지하기 위한 취지라면 직권조사가 필요할 수 있겠지만 잘못을 끄집어 내기 위함이 아닌, 회복을 도와주는 데 초점을 둬야 한다”고 지적했다.
CISO들은 23일 오전 류제명 과기정통부 제2차관과 국내 주요 CISO들이 가진 긴급회의에서도 이 같은 의견을 입을 모아 전달한 것으로 알려졌다.
“질타와 처벌보다 지원 연계 선순환...조사 근거 객관성 필요”
조사 권한 남용 우려가 충분히 불식돼야 한다는 의견도 제기된다. 이를 위해 기업 신고 없이 직권 조사를 결정할 때 근거가 되는 ‘정황’에 대한 객관성을 철저히 유지해야 한다는 것이다.
법조계 한 보안 전문가는 “기업 자진 신고 없이 조사를 진행할 경우 트리거가 되는 사항의 객관성 유지가 필요하다”며 “혐의나 의심만으로 권한이 남용돼선 안되며, 다크웹 게시나 민원, 투고 등이 충분한 정황이 되는지 그 신빙성을 따져보고 권한이 발동돼야 할 것”이라고 말했다.
그는 이어 “조사 범위 역시 적정선에 대한 연구가 선행돼야 한다”고 강조했다.
학계 역시 정부의 조사 권한 강화 움직임에 대해 피해 예방과 극복 강화라는 취지를 실질적으로 이룰 수 있어야 한다는 의견이다. 기업 부담만 증가시키는 조사 강화는 의미 없고, 정부의 지원 제도 활용을 늘이는 등 선순환이 이뤄져야 한다는 것이다.
장항배 중앙대학교 산업보안학과 교수는 “심각해지는 기업 사이버 위협에 대해 정부가 개선된 제도를 마련하려는 움직임은 바람직하다”며 “제도는 어떤 자세로 적용되는지가 중요한데, 조사해서 처벌하는 데만 중심을 둔다면 본연의 취지를 이루는데 도움이 되지 않으며, 지원에 초점을 둬야할 것”이라고 밝혔다.
장 교수는 “조사 과정에서 기업에게 정책적·금전적 지원 등을 잘 연계해주고 빠른 회복을 할 수 있는 선순환을 만들어야 한다”며 “조사 범위 역시 충분한 사전 소통을 통해 합리적으로 설정돼야 할 것”이라고 제언했다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg)