사이버 침해사고 기업은 대책 마련해야…정필모 의원, 법안 발의

LG유플러스 개인정보 유출 사고와 분산서비스거부(DDoS·디도스) 공격, 쿠팡과 카카오의 고객 정보 유출 등 사이버 침해사고 재발 방지를 위해 기업의 사전·사후 대응을 강화하는 법안이 추진된다.

정필모 더불어민주당 의원은 '정보통신기반 보호법'과 '정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)' 일부개정법률안을 11일 대표 발의했다고 밝혔다.

정필모 더불어민주당 의원 [사진제공=정필모 의원실]

최근 LG유플러스 디도스 공격 등 인터넷 접속 장애 사고가 잇따르면서 인터넷망과 같은 주요정보통신기반시설에 대한 보안 조치 강화 필요성이 제기되고 있다. 현행법은 관계중앙행정기관의 장에게 소관 분야 주요정보통신기반시설의 보호조치에 관한 보호지침을 제정하도록 하고 있을 뿐, 통신사 등이 이러한 보호지침을 지키는 것에 대해서는 권고사항으로만 규정하고 있다.

이에 정 의원은 '정보통신기반 보호법' 개정안에 관계중앙행정기관의 장이 주요정보통신기반시설 관리기관의 장에게 보호지침을 지킬 것을 명령할 수 있도록 하고, 보호지침을 반드시 지키도록 하는 내용을 신설했다. 정 의원은 “통신망에 일단 해킹사고가 발생하면 국민 생활에 미칠 피해가 막대하기 때문에 주요정보통신기반시설에 대한 보호조치를 의무화해 사전 예방조치를 보다 강화해야 할 필요가 있다”고 말했다.

현행법에 따르면 기업은 정부가 마련한 침해사고 대책을 이행해야 할 법적 의무가 없다. 권고사항에 불과하다. 이에 과학기술정보통신부가 민·관합동조사단 등을 통해 마련한 재발 방지 대책의 실효성이 떨어진다는 지적이 나온다.

과기정통부와 한국인터넷진흥원(KISA)이 최근 3년간 침해사고가 발생한 기업에 대해 필요한 조치를 권고한 건수는 총 1107건(2021년 427개, 2022년 607개, 2023년(~2월) 73개)에 달하지만 실제 이행 여부는 파악하지 않고 있다. 정 의원은 '정보통신망법' 개정안에 과기정통부 장관이 침해사고가 발생한 기업에 침해사고 대응 등 필요한 조치를 이행할 것을 명령할 수 있도록 하고, 해당 기업은 이를 이행하도록 의무화했다.

정 의원은 “과기정통부가 재발 방지 대책을 마련하는 것에만 그치고, 후속 조치를 하지 않고 있는 것은 소관 부처로서 책임을 다하지 않고 있는 것으로 볼 수 있다”며 “이번 개정안을 통해 정부가 사이버 침해사고 재발 방지를 위해 효과적으로 대응할 수 있도록 법적 근거를 마련했다”고 밝혔다.

오수연 기자 syoh@asiae.co.kr