[IT보안을 다시 본다] <하> 주먹구구식 정책 '보안구멍' 키운다

지난 7월 28일 방송통신위원회에 네이트와 싸이월드를 운영하는 국내 3위 포털업체 SK커뮤니케이션즈(이하 SK컴즈)가 해킹을 당했다는 신고가 접수됐다. 3,500만여건에 달하는 개인정보가 유출된 사상 초유의 해킹 사건이 드러나는 순간이었다. 하지만 SK컴즈는 개인정보 유출사실은 이미 이틀전인 26일에 파악했던 것으로 나타났다.회사측은 정확한 사고 원인과 피해 규모를 파악하느라 시간이 걸렸다고 설명했지만 석연치 않은 점이 많다. 늦게 신고하더라도 별다른 제재가 없다는 점을 알고 늑장신고를 한 것 아니냐는 의혹이다. 현재 '정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)'에 따르면 인터넷 서비스 제공자는 개인정보 침해 사고가 발생하면 즉시 방통위나 한국인터넷진흥원에 해당 사실을 신고해야 한다. 하지만 현재로서는 이를 지키지 않아도 마땅히 규제할 방법이 없다. 정부는 지난 2008년 해킹 사실을 즉각 신고하지 않는 업체에게 과태료 등을 부과하는 내용의 정보통신망법 개정안을 발의했으나 아직까지 국회에 계류 중이다. 신고 대상이 해킹으로 인한 개인정보 유출에 국한된다는 점도 문제점으로 지적된다. 해킹이 아닌 내부 직원의 고의적인 유출이나 운영 미숙에 따른 과실은 신고 의무가 없다. 개인정보 유출이라는 동일한 사안을 놓고 주먹구구식으로 법이 적용되고 있는 것이다. 해킹으로 의심되는 개인정보 유출이 발생하더라도 늑장 신고로 이어질 수밖에 없는 구조다. 인터넷 보안업체에 대한 관리 감독이 허술하다는 점도 도마 위에 오르고 있다. 최근 해킹, 분산서비스거부(DDoS) 공격 등 사이버 테러가 급증하면서 대다수 업체들은 자체 보안 인력 외에 안철수연구소, 하우리 등 보안 전문업체에도 보안 업무를 위탁하고 있다. 하지만 보안 전문업체는 별도의 신고 의무가 없다. 해킹으로 의심되는 사고가 발생하거나 해킹 징후가 포착되더라도 각 업체들은 내부 단속에 급급한 실정이다. 보안 정책이 이처럼 혼선을 빚자 전문가들은'보안 콘트롤타워'의 필요성을 꾸준히 제기해왔다. 현재 국내 보안 정책은 크게 민간(방통위), 정부부처(행정안전부), 군(국방부), 금융(금융위원회), 국가 전반(국가정보원)이 담당한다. 하지만 실질적인 보안 업무는 방통위 산하기관인 한국인터넷진흥원과 경찰청 사이버테러대응센터, 국정원 국가사이버안전센터로 분산돼있어 효율적인 공조가 어렵다는 지적이다. 정부는 최근 15개 보안 유관기관이 협력하는 '국가 사이버 안보 마스터플랜'을 발표한바 있다. 하지만 구체적인 실행방안은 10월에야 나오는 데다 지난 2009년 공개한 '국가 사이버 위기 종합대책'과 별다른 차이가 없다는 평가가 지배적이다. 염흥열 한국정보보호학회장은 "올 상반기에만 국내에 대규모 보안 사건이 연이어 발생했지만 뚜렷한 정부 대책을 찾아보기 어려운 상황"이라며 "방통위, 국정원, 행안부 등 부처별로 주먹구구식 대책을 발표하기보다는 하나의 전담부처를 통해 각 부처 의견이 취합될 수 있도록 완성도 있는 대책이 나와야 한다"고 말했다.