시민행정신문 이준석 기자 | 올해 SKT 해킹 사태에 이어 최근 KT 소액결제 피해까지 발생하면서, 해킹 범죄가 일상화되고 국민의 불안이 커지고 있다. 이러한 상황에서 현행법의 미비점을 보완하여 피해 확산을 막고 신속한 대응을 가능하게 할 법안이 발의돼 주목된다.

 

더불어민주당 조인철 의원(광주 서구갑, 국회 과학기술정보방송통신위원회)은 ▲일반 해킹 사고까지 정부 조사 범위를 확대하고, ▲침해사고 조치 불이행 시 이행강제금을 부과하며, ▲정보보호 최고책임자(CISO)에게 인력·예산 편성 권한을 부여하고, ▲피해 사실을 이용자에게 즉시 알리도록 하는 내용의 '정보통신망법' 개정안 2건을 대표 발의했다.

 

현행법은 해킹 사고가 발생하면 과기정통부 장관이 소속 공무원이나 민·관합동조사단을 통해 사업장에 직접 출입하여 원인을 조사하고 피해 확산 및 재발방지를 위한 조치 이행을 명할 수 있게 규정하고 있다. 그러나 이 과정이 ‘중대한 침해사고’에 한정돼 있어 일반 해킹 사고는 조사에서 누락되는 문제가 있었고, ‘중대한 침해’의 판단 기준도 모호해 기업의 자진 신고에 의존하는 한계가 지적돼 왔다.

 

이에 개정안은 중대한 해킹 사고뿐 아니라, 해킹 정황이 있고 조사 필요성이 있을 경우에도 정부가 직접 원인 조사와 조치 이행을 할 수 있도록 했다. 또한, 분석결과에 따른 조치를 이행하지 않으면 이행강제금을 부과하도록 해 실효성을 높였다.

또 다른 개정안은 해킹 사실을 이용자에게 즉시 알리도록 하고, 정보보호 최고책임자에게 인력 관리 및 예산 편성 권한을 신설해 기업 내 정보보호 체계를 강화하도록 했다.

 

현행법상 침해 사고 발생 시 정보통신 서비스 제공자가 한국인터넷진흥원에 즉시 신고하도록 하고 있으나, 정작 피해 이용자에게는 통지 의무가 없어 2차 피해로 이어지는 사례가 잦았다. 이번 개정안은 ‘즉시 통지’ 조항을 신설해 이용자 보호를 강화했다.

 

또한, 현행법은 정보통신서비스 제공자의 임직원을 ‘정보보호 최고책임자’로 지정하고 정보보호 계획 수립 및 시행, 정기감사, 위험의 식별 평가와 대책 마련, 관련 교육과 모의훈련 계획 수립 등의 총괄 업무를 맡기고 있는데, 개정안은 여기에 ‘정보보호 인력 관리’와 ‘예산 편성’ 역할까지 더해서 책임과 권한을 강화했다.

 

이렇게 2개 법안을 패키지로 개정하면 일상화된 해킹 범죄에서 피해 확산을 막고, 국민적 불안을 줄일 수 있다는 게 의원실의 설명이다.

 

조인철 의원은 “사이버 위협이 일상이 된 시대에 정보보호는 기술 문제가 아닌 국민의 생존권에 관한 문제”라며 “국민은 피해 사실을 신속히 인지하고, 정보보호 책임자는 실질적 권한과 책임을 갖고 사전 예방에 나설 수 있도록 하고, 정부는 일반사고까지 조사할 수 있는 권한을 확보해 신속하게 대응할 수 있도록 제도를 지속적으로 보완해 나가겠다”고 밝혔다.

 

한편, 조인철 의원은 침해사고 대응체계 개선법, ISMS 인증제도 실효성 강화법, 정보보호 책임강화법, 디지털 취약계층 보호법, 등 민생과 직결된 사이버 침해사고 대응을 주요 의정활동 과제로 삼아 관련 입법을 지속 추진해오고 있다.