늘어난 해킹, 침해·유출신고는 따로따로…"통합체계 필요"

[디지털데일리 김보민기자] 국내 기업과 기관을 노린 해킹 공격이 기승을 부리는 가운데, 침해신고와 유출신고가 분리돼 있어 현장 혼선이 이어지고 있다는 지적이 나왔다. 담당 주무 부처가 다르기 때문인데, 일각에서는 통합신고 체계가 필요해질 것이라는 전망이 나온다.

1일 한국인터넷진흥원(KISA)에 따르면 올 상반기 침해사고 신고 규모는 1034건을 기록했고, 하반기까지 합쳐 2000건에 달할 것으로 예상된다. 특히 서버해킹 신고의 경우 최근 3년간 약 1.8배 규모가 증가한 것으로 나타났다.

박용규 KISA 위협분석단장은 "최근 랜섬웨어 사고가 많이 발생하고 있고, 이러한 사고의 이면에는 정보 유출이 반드시 수반된다는 점이 감춰져 있다"며 "관련 법이 개정되고 인식이 개선되면서 침해사고 신고 건수 또한 늘어나는 추세"라고 설명했다.

현재 현장에서는 관련 법령에 따라 침해사고와 유출 신고가 분리 운영되고 있다. 먼저 침해사고는 정보통신망법(제48조의3)에 따라 정보통신서비스제공자를 대상으로 침해사고 발생을 알게 된 시점부터 24시간 내 신고를 완료하도록 하고 있다. 신고는 과학기술정보통신부와 KISA를 통해 이뤄진다. 사고 유형으로는 분산서비스거부(DDoS·디도스), 랜섬웨어, 해킹 등이 있다.

유출사고의 경우 개인정보보호법(제34조)에 의거해 개인정보처리자를 대상으로 유출 등을 인지한 시점부터 72시간 내 신고를 완료하도록 한다. 신고 대상은 개인정보보호위원회와 KISA다. 사고 유형으로는 해킹을 비롯해 부주의, 고의 등이 있다. 박 단장은 "정보통신망법은 피해 확산 방지에, 개인정보보호법은 의무 위반 행위를 살펴보는 데 목적을 두고 있다"며 "두 법안이 바라보는 관점에 차이가 있다"고 부연했다.

다만 현장에서는 침해와 유출 신고를 분리해 운영하는 것이 효율적이지 않다는 의견도 나온다. 박 단장은 "현재 침해와 유출 사고의 경우 KISA에 신고한다는 공통점이 있지만, 과기정통부와 개인정보위라는 부처가 다르다"며 "그러다보니, 신고 이후 정보 공유 등 상황이 복잡한 경우도 있다"고 전했다.

최근 해킹을 비롯해 대형 보안사고가 이어지고 있는 만큼, 통합 신고의 필요성 또한 부각될 것으로 예상했다. 박 단장은 "부처 쪽으로 관련 제안을 하고 있다"며 "통합 신고를 받은 뒤 유출 여부까지 판단이 되면 망법에 의해 신고까지 된 것으로 처리하는 방향"이라고 소개했다. 그러면서 "부처 간 협의가 되지 않았기 떄문에, 시간이 걸리는 부분"이라고 말했다.

한편 일각에서는 보안사고가 발생한 기업을 대상으로 KISA가 기술지원을 강제할 수 없는 부분에 대한 개정도 필요하다는 목소리가 나온다. 지난 6월 랜섬웨어 공격으로 서비스가 중단된 예스24의 경우, KISA의 기술지원을 거부했지만 'KISA와 원인 분석에 총력을 다하고 있다'고 주장해 논란의 중심에 선 바 있다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -