경영자에도 해킹피해 책임 묻는다… '구체 방안 없어 고강도 문책 미지수'

8일 방송통신위원회에서 발표한 '국가 사이버안보 마스터플랜'은 민간기업의 최고경영자(CEO)들에게는 일종의 경고장이나 다름없다. 이전까지는 기업 차원에서 해킹 등 보안 사고의 피해를 처리하면 됐지만 이제는 정부가 나서 책임을 물을 수 있다는 내용이기 때문이다. 하지만 아직 구체적인 방안이 나와있지 않아 CEO들이 얼마나 준비 태세를 갖출지는 미지수다. 이날 박철순 방통위 네트워크정보보호팀장은 "민간기업에 해킹사고가 발생할 경우 경영자의 책임을 명확히 할 것"이라며 "법적인 부분도 강화하겠지만 관련 제도 강화 등도 논의할 것"이라고 말했다. 아직 구체적인 방안은 검토 중이지만 정보통신망법 개정을 통해 보안 사고 발생 기업 CEO의 처벌을 강화하는 안이 논의될 전망이다. GS칼텍스ㆍ옥션 등의 사례를 보더라도 현재 정보통신망법에 따르면 기업이 해킹을 당해 수천만명의 개인정보가 유출되더라도 2년 이하의 징역ㆍ1,000만원 이하의 벌금형이 고작이다. 혹은 CEO 차원에서 책임을 지는 경우는 드물었다. 최고정보보호책임자(CISO)를 각 기업이 의무적으로 두게 될 수도 있다. 박 팀장은 "CISO가 있으면 CEO가 해당 기업의 보안계획을 보고 받고 책임을 질 수 있다"며 "이런 식의 제도를 도입하겠다는 것"이라고 설명했다. 다만 업계 관계자들은 "개인의 책임으로 몰고 가서는 해결될 일이 아니다"라는 등의 지적을 제기하고 있다. 여기에 각 기업이 고용하는 용역업체 등도 보안사고가 났을 때 책임을 지게 될 것으로 보인다. 방통위는 "농협 해킹 사건의 경우에도 용역업체가 문제가 됐었다"며 "용역업체의 고의나 과실 때문에 사건이 발생했을 때도 민ㆍ형사적 책임을 물을 수 있는 근거나 법을 바꿔가는 방향으로 갈 것"이라고 밝혔다. 용역업체 역시 보안을 철저히 관리해야 한다는 인식을 기반으로 가이드라인을 만들고 실행하겠다는 이야기다. 이밖에 방통위는 각 정부부처가 역할 분담을 보다 명확히 할 수 있는 체계를 마련키로 했다. 현재 우리나라 정부의 보안 감시 체계는 공공ㆍ민간ㆍ국방 부문을 각각 국정원ㆍ방통위ㆍ국방부에서 총괄하도록 돼 있다. 이 중에서도 공공ㆍ민간 부문은 지금도 국정원이 위기시 컨트롤타워의 역할을 맡고 있는데, 앞으로는 컨트롤타워로서의 역할을 강화해 각 부처 간의 혼선이 없도록 관리하겠다는 설명이다. 방통위 관계자는 "민간 기업의 보안 체계까지 국정원이 개입한다는 의미가 아니라 좀더 효율적인 보고ㆍ협력 체계를 만들 수 있도록 한다는 것"이라고 말했다. 이날 방통위는 또 ▦금융ㆍ통신 부문 기업이 전문 업체를 통해 연 1회 이상 의무적으로 보안점검을 받고 ▦주요 핵심 시설은 백업센터ㆍ재해복구시스템을 확대하고 ▦정부에서 쓰는 소프트웨어는 개발 단계에서부터 보안취약점을 의무적으로 사전 진단토록 하는 등의 추가 조치를 도입할 계획이라고 발표했다. 방통위는 이달 내로 이번 마스터플랜의 구체적인 실천 방안을 마련할 계획이다. 한편 보안 업계에서는 이 같은 조치에 대해 '새로운 내용이 없다'는 반응이다. 한 이동통신사 관계자는 금융ㆍ통신 기업 보안점검 의무화 계획에 대해 "이미 방통위가 선정한 업체를 통해 연 1회 보안점검을 실시하는 안전진단제도가 시행되고 있다"고 전했다. 정태명 성균관대 정보통신공학부 교수는 소프트웨어 사전 보안진단 의무화와 관련해 "매년 수만 개의 소프트웨어가 쏟아져 나오는데 이를 모두 점검할 인력은 있는지 의문"이라며 "국가보안 설계 단계부터 실현 가능한 구체적인 안을 내놔야 한다"고 지적했다.