[이주의 법안] ‘44개월’ 방치된 SKT 해킹사고…보안사고 막을 법안은?

SKT 해킹사고 발생 3개월 경과…부실 관리 속 2695만건 정보 유출
이동통신사 정보보호 인증제도 유명무실…“엄격한 체제 필요” 목소리
국힘 김상훈, ‘제2의 SKT 방지법’ 발의 “기업도 장기적 리스크 줄여야”

(시사저널=변문우·강윤서 기자)

유영상 SK텔레콤 대표이사가 정부의 해킹 사태 관련 최종 조사 결과가 발표된 4일 서울 중구 SKT타워에서 열린 해킹 사태 관련 입장 및 향후 계획 발표 기자회견에서 고개 숙여 사과하고 있다. ⓒ연합뉴스

'2695만 7749건(가입자 식별번호·IMSI 기준)'

올해 4월 SK텔레콤(SKT) 유심 해킹사고로 유출된 정보량이다. 당시 SK텔레콤 가입자와 알뜰폰 이용자를 합친 전체 고객 2500만 명보다 더 많은 건수다. 해킹에 사용된 악성코드의 복잡성을 고려하더라도 이번 사고는 SKT의 '개인정보 부실 관리'가 주원인이라는 데에 업계의 이견이 없는 분위기다. 3년8개월여 간 지속된 침투 공격을 방지하지 못한 데 따른 피해는 결국 미궁의 세계로 개인정보를 뺏긴 가입자들에게 고스란히 전해졌다.

SKT 해킹사고는 이동통신사 보안 체계에 다시 한 번 경종을 울렸다. 앞서 KT(2014년)와 LG유플러스(2023년)도 심각한 개인정보 유출 사고가 발생했지만, 이번 SKT 사고는 국내 이동통신사 역사상 최악의 보안사고'로 평가된다. 유심(USIM) 복제에 활용 가능한 주요 정보를 관리하는 중앙 서버가 뚫리면서다. 사고 발생 후 약 3개월이 지난 지금도 '완전한' 사태 수습이 가능할지 미지수인 상황에서 '완벽한' 예방 및 재발 방지 방안부터 다시 손봐야 한다는 목소리가 나온다.

국회는 입법 차원에서 재발 방지 총력전에 나섰다. 대표적인 법안이 김상훈 국민의힘 의원은 지난 달 11일 대표발의한 '정보통신망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률) 개정안'이다. 법안에는 유사사고 재발 방지를 위해 엄격한 정보보호 인증체계를 도입하고, 관리·감독 체계를 개선하는 내용이 담겼다.

구체적으로는 △이동통신사 등 보안 관련 고위험 산업군에 대한 인증 기준을 강화하고 △인증 미이행 시 과징금 부과 근거를 마련하는 것이 핵심 골자다. 아울러 △중대한 정보보호 관련법 위반 시 인증을 취소할 수 있도록 하고 △사후관리에서는 서류심사만이 아닌 현장심사를 병행하도록 한다.

현행법은 인증기관이 정보통신망의 정보보호 및 개인정보보호 관리체계(ISMS-P)가 인증기준에 적합한지를 평가해 인증 또는 관리등급을 부여하도록 하고 있다. 그러나 해당 인증평가를 받았음에도 대규모 정보통신망 침해 사고가 반복돼 그 실효성에 대한 의문이 제기됐다. 큰 비용과 시간을 들여 유지한 인증체계도 해킹 초기 대응에 실패한다는 지적이다. SKT 사고 역시 인증 기준상 요구되는 절차가 실제 현장에서는 제대로 작동하지 않은 것으로 드러났다.

김 의원은 18일 시사저널 인터뷰에서 "대규모 개인정보 유출은 물론, 국가적 사이버 안보 위협 확산 가능성을 차단 및 예방하기 위한 법안"이라며 자신이 발의한 법안이 국민 불안을 해소하는 데 필요하다고 강조했다. 일각에서 제기된 기업의 부담이 늘어나는 것 아니냐는 우려에 대해선 "사고 예방을 위한 노력과 비용 투자를 늘리는 것이 장기적으로 기업의 리스크와 사회적 비용을 줄이는 일이 될 것"이라고 강조했다. 아래는 김 의원과의 일문일답.

ⓒ김상훈 의원실 제공

이번 법안을 발의하게 된 계기는 무엇인가.

"이미 SKT, KT, LGU+ 사고로 볼 수 있듯이 이동통신사는 광범위하고 민감한 개인정보를 보유하고 있어 해킹사고 발생 시 대규모 개인정보 유출로 이어질 수 있다. 특정 국가나 조직이 이동통신사의 핵심 시스템을 해킹해 통신망을 장악하거나 마비시킬 경우 국가적 사이버 안보 위협으로 확산될 수 있다. 이를 차단 및 예방하기 위한 법안이 필요하다고 생각했다."

정보보호 침해 사고 예방을 위해 인증제도 강화에 집중한 이유는 무엇인가.

"이동통신사들이 정부가 부여하는 인증을 받았음에도 심각한 해킹사고가 계속해서 발생하고 있다. 2014년 KT 해킹사고 당시 KT가 인증을 받고도 해킹을 막지 못해 인증제도가 유명무실하다는 비판이 일었고, 2023년 LGU+ 해킹사고 당시에는 개인정보 유출에도 해당 기업의 인증이 취소되지 않고 유지되는 것에 대한 문제가 지적됐다."

기존 인증제도에는 어떤 문제가 있었다고 보는가.

"크게 4가지 문제점이 있었다. ①현행 정보통신망법은 소기업에 대해 인증 기준을 완화할 수 있도록 규정하고 있는 반면, 고위험 산업군에 대해 인증 기준을 강화할 수 있는 근거가 없다. ②개인정보 보호법은 중대 법령 위반 시 개인정보 보호 인증을 취소할 수 있도록 규정한 반면, 정보통신망법의 인증 취소사유에는 '중대한 법령 위반'이 포함돼있지 않아 법 집행의 사각지대가 존재했다. ③인증 미이행 시 3000만원 이하의 과태료 부과에 그치고 있어 인증 취소 후 재인증을 받지 않는 경우 실효성을 담보하기에 한계가 있었다. ④인증의 실효성 유지를 위하여 연 1회 이상 사후관리를 하도록 규정하고 있는데, 현재는 사후관리가 서류심사 중심으로만 이뤄져 관리 및 감독이 형식적으로 운영됐을 가능성이 있다."

일각에선 현장 심사와 과징금 규정 강화 등 강화된 인증 기준이 기업들에 부담으로 작용할 우려도 있다.

"이번 SKT 사례에서도 그렇듯 이동통신사 해킹의 경우 사고 발생 시 따르는 피해 규모가 막대하고 대상이 광범위하며 피해 영역에 따라 복구가 불가능할 수도 있다. 더 이상 소 잃고 외양간 고치는 일을 없어야 할 것이다. 따라서 사고 예방을 위한 노력과 비용 투자를 늘리는 것이 당장은 부담이 될 수 있지만 장기적으로 기업의 리스크와 사회적 비용을 줄이는 일이 될 것이다. 또 법안 심사 과정에서 관계 부처와 기업, 전문가들의 의견을 청취해 개선할 부분 있다면 적극 검토하겠다."