KISA "기업 동의 없어도 침해사고 조사 가능해졌다"
정보통신망법이 개정되면서 기업이 동의하지 않아도, 침해사고 발생 시 한국인터넷진흥원(KISA)이 현황 조사를 할 수 있게 됐다. 지난해 KISA로 접수된 민간 분야 침해 사고 신고 접수는 총 1천142건으로, 전년(640건)보다 두 배 가까이 증가했다. 올해는 지난 1월에만 77건이 발생했다. 이마저도 KISA로 접수된 수치일 뿐, 실제 민간 분야에서 벌어지는 침해 사고는 이보다 훨씬 더 많을 것으로 추정된다. 침해 사고는 매년 증가하는데 KISA는 침해 사고 기업의 동의 없이는 조사할 수 있는 권한이 없어 업계에서는 많은 문제 제기가 있었다. 그러나 지난해 12월 11일 침해사고 원인 분석 등의 조항을 담은 정보통신망법이 개정·시행되면서 기업이 기술지원 동의 요청을 하지 않더라도, KISA가 자료 보전 및 제출을 요구해 사고를 분석하고 피해 확산 방지를 위한 후속 조치를 할 수 있게 됐다. 한국인터넷진흥원(KISA) 침해사고분석단 박용규 단장은 "이번 정보통신망법 개정으로 사고 분석에 기업이 동의하지 않더라도 적극적으로 KISA가 개입할 수 있게 됐다"며 "자료 보전 및 자료 제출 요구를 거부할 시, 행정처분으로 기업명과 과태료가 정확하게 공표되기 때문에 기업이 부담을 갖고 이를 덜어내기 위해선 과학기술정보통신부·KISA와 적극 협력해 고객에 필요한 조치를 해야 한다"고 말했다. 정보통신망법 개정의 주요 내용은 ▲침해사고 발생 기업이 수행해야 하는 피해확산 조치 요건 구체화 ▲침해사고 발생 기업에 대한 조치권고 권한 명문화 ▲침해사고에 대한 자료 보전 및 자료 제출 요구 권한 명문화다. 사고 대응은 크게 사고 인지-사고 검토-사고 분석-후속 조치 등 네 가지로 진행된다. 침해 사고가 일어난 경우, 먼저 피해 기업은 사고 인지를 통해 침해사고 신고를 접수하게 된다. 개정 전에는 기업에게 신고 의무만 고지됐다면, 개정 후에는 추가로 원인 분석 및 피해확산 방지 조치 의무와 자료 보전 및 제출 권한도 함께 고지된다. 자료를 제출하지 않을 시에는 행정처분이 수반되기 때문에는 이는 의무사항이다. 박 단장은 "기업의 적극적인 피해확산 방지를 위한 조치 동참을 기대할 수 있다"고 설명했다. 기업이 자료 제출을 거부하거나 거짓 제출을 할 시에는 위반횟수에 따라 최소 300만원에서 최대 1천만원의 과태료가 부과된다. 또한 사업자가 사고 대응, 복구 및 재발 방지를 위한 대책을 마련해야 한다는 권고 조치도 신설됐다. 사고 검토 단계에서는 먼저 중대 사고인지 판단한다. 기존 망법에서는 중대 사고 판단 기준을 훈령에 따라 크게 ▲주요정보통신기반시설인 경우 ▲정보보호관리체계(ISMS) 인증 의무 대상인 경우 ▲원인을 알 수 없는 해킹에 의한 다발적 피해발생이 우려되는 경우 ▲그밖에 과학기술정보통신부장관이 필요하다고 판단하는 경우 등 4가지로 구분했다. 최근 개인정보 유출 사건을 겪은 LG유플러스의 경우, 주요통신기반시설이며 ISMS인증 의무 대상 사업자이기 때문에 중대사고로 분류됐다. LG유플러스 개인정보 유출 사고는 이례적으로 기존 민관합동조사단에서 특별조사점검단으로 확대 운영해 조사 중이다. 박 단장은 "1월 18일부터 민관합동조사단이 구성된 후, 이후 특별조사점검단으로 확대 운영해 조사가 이뤄지고 있다"며 "어느 정도 조사가 진척됐기 때문에 3월 정도에는 조사 결과를 발표할 것으로 예상된다"고 말했다. 그동안의 사고 검토 단계에서 중대 사고라고 판단되는 경우에만 자료 보전 및 자료 제출 요구가 가능했다. 하지만 이번 망법 개정으로 일반 사고까지, 발생하는 모든 침해 사고에 KISA가 자료 보전과 제출을 요구하는 등 적극 개입이 가능해졌다. 또한 중대한 침해 사고의 경우, 소속 공무원이 현장에 나가 직접 침해 사고 원인을 조사할 수 있게 됐다. 사고 분석 단계에서도 그동안 원격 또는 현장조사 등 직접 조사만 가능했지만, 제출자료 검토 방식의 간접 조사도 병행해 활용할 수 있게 됐다. 후속 조치 또한 직접 조사를 진행하지 못한 사고에 대해서도 자료제출 요구를 통해 필요 정보를 수집할 수 있게 됐다. 박 단장은 "기업 자체 조사 건에 대한 사고 정보와 분석 결과 등 정보 수집 및 공유가 가능해지면서 피해확산 방지를 강화할 수 있다"고 말했다. 박 단장은 "정보통신망법 개정은 행정 처분이 목적이 아니라 계도가 목적"이라며 "기존에는 기업들이 침해 사고를 감추려고 했다면, 이젠 감추지 말고 KISA와 함께 빨리 대처해 더 안전한 기업 환경을 만들자는 목적"이라고 강조했다.