“해킹사고 24시간 내 신고 의무화에도…늑장·미신고 66건”

[이데일리 김현아 기자] 조국혁신당 이해민 의원(국회 과학기술정보방송통신위원회)은 19일, “해킹사고 발생 24시간 이내 신고 의무가 도입됐지만, 여전히 늑장 신고와 미신고가 반복되고 있다”고 지적했다.

1년간 66건, 최대 1년 지나서야 신고

이해민 의원이 한국인터넷진흥원(KISA)으로부터 제출받은 자료에 따르면, 2024년 8월 정보통신망법 개정 이후 1년간 늑장·미신고 사례가 66건 발생했다. 일부 기업은 해킹 사실을 인지한 뒤 수개월, 심지어 1년이 지나서야 신고한 경우도 확인됐다.

현재 과태료가 최대 3천만 원에 불과해 기업들의 신고 회피를 부추기고 있다고 이 의원은 비판했다.

이해민 의원(조국혁신당)

신고 늘었지만 기술지원 요청 ‘반토막’

최근 5년간 침해사고 신고 건수는 증가했지만, KISA 기술지원 요청 비율은 절반에도 못 미쳤다.

2024년에는 신고 기업 1532곳 중 54.4%(834곳)만 기술지원을 요청했다.

2025년 상반기에는 신고 기업 777곳 중 41.7%(324곳)만 요청했다.

기업이 기술지원을 거부하면 KISA는 자료 제출만 요구할 수 있을 뿐, 현장 출입이나 서버 점검은 불가능하다. 실제로 지난 6월 예스24 해킹 당시에도 KISA 분석가들이 현장을 두 차례 방문했지만 협조가 이뤄지지 않았고, 이틀 뒤에야 뒤늦은 지원 요청이 있었다.

“현장 조사 권한 강화해야”

이 의원은 “24시간 내 신고 의무는 신속 대응을 위한 최소한의 장치”라며 “기업들이 자체 대응만 내세워 KISA 지원을 회피하는 상황에서 피해 확산을 막기 어렵다”고 지적했다.

또 “현행법은 기술지원 거부 시 자료 제출 의무만 규정돼 있어 KISA의 현장 출입·조사 권한이 부족하다”며 “신속 대응을 위해 법적 근거를 강화하는 입법 보완이 필요하다”고 강조했다.