민간 영역에서 발생하는 보안 침해사고를 담당하는 기관은 한국인터넷진흥원(KISA)다. 기업이 분산서비스거부(디도스), 랜섬웨어 등 공격을 받았을시 KISA에 피해사실을 신고해야 한다.
다만 이후 단계인 조사와 조치 영역에서 KISA는 그간 다소 녹록치 않은 시간을 보내왔다. 사고 인지, 사고 검토, 사고 분석, 후속 조치에 이르는 각 단계마다 필요한 법적 근거들이 부재하거나 실효성이 떨어졌기 때문이다. 이같은 상황은 지난해 11월을 기점으로 완전히 뒤바뀌게 됐다. 정보통신망법 개정이 이뤄지며 운신의 폭이 넓어진 것이다.
지난 24일 서울 역삼동 드리움에서 만난 박용규 KISA 사이버침해대응본부 침해사고분석단 단장은 "과거 망법 개정 전에는 기업에 침해사고 신고 의무까지는 부여할 수 있었으나 조사, 후속 조치 등 기업에 권고하기 위한 법적 근거가 없었다"며 "정보통신망법 개정 이후 침해사고 발생 기업이 수행해야 하는 피해확산 조치 요건 구체화, 조치권고 권한 명문화, 자료보전 및 자료제출 요구 권한 명문화 등이 이뤄졌다"고 강조했다.
자료 제출 거부하면 행정처분
침해사고 발생 시 KISA 대응은 크게 4가지로 구분된다. 신고 접수가 이뤄지는 '사고 인지'부터 피해확산 방지를 위한 조치에 나서는 '후속 조치'까지 총 4단계다.
사고 인지와 검토 단계에서는 기업이 피해확산 방지를 위한 조치에 더 적극적으로 참여할 수 있도록 했다. 망법 개정 전에는 신고의무만 고지했다면, 개정 후에는 기업이 분석한 원인과 피해확산 방지를 실현시키기 위해 할 조치를 의무적으로 고지하도록 한 것이다.
무엇보다 침해사고에 대한 자료를 보전하고 제출해야할 의무가 생겼다는 점은 고무적이다. 과거에는 기업이 분석에 동의하지 않으면 자체 분석하고 조치한 사항을 확인할 수 없었다. 그러나 자료 보전 및 제출을 명령할 수 있게 되면서 더 정확한 조사가 가능해졌다.
중대사고를 포함한 모든 사고, 즉 일반 사고에 대해서도 동일한 요구가 가능하며, 만약 자료를 미제출할 경우 행정처분에 의해 과태료가 부과된다. 기업이 제출해야 하는 자료는 기업 정보는 기본이다. 여기에 네트워크 구성도, 시스템 운영 현황 등이 포함돼있다.
박 단장은 "개정된 망법의 가장 큰 특징은 자료 보전 및 제출 명령"이라며 "이를 거부했을 경우 행정처분에 따라 과태료를 부과하는 부분이 신설됐고 횟수에 따라 800만~1000만원까지 부과할 수 있게 됐다"고 설명했다. 이어 "과거에는 기업이 이행하지 않아도 법적 처벌을 못했다면 이제는 행정처분으로 과태료를 부과가 가능한 상황으로 변화했다"고 덧붙였다.
풍부한 자료 바탕으로 피해확산 막는다
사고 분석과 후속조치 단계 또한 많은 변화를 맞이했다. 침해사고 원인을 분석하는 단계에서는 직접조사와 간접조사 방식을 병행해 사용할 수 있게 됐다.
기업이 자체적으로 대응하거나 조사한 데이터를 확보해 KISA 조사에 활용하는 방식이다. 최근 개인정보유출과 디도스 공격으로 홍역을 치른 LG유플러스 또한 사고 초기 자체적으로 대응에 나선 바 있다. 현재 KISA는 이같은 데이터들을 포함해 분석을 진행 중이다.
이외에도 민관합동조사단을 꾸리고 운영함에 있어 조사 방법 및 절차 또한 새롭게 추가됐다. 조사단 소속 공무원이 기업 사업장에서 직접 원인을 조사할 수 있는 권한이 생긴 것이다.
피해확산 방지를 위한 후속조치 또한 앞선 단계에서 강화된 자료 보전 및 제출 명령권을 확보한 덕에 더 상세한 안내가 가능해졌다. 개정 전에는 KISA가 조사를 진행한 범위 내 정보로만 공유가 가능했다면, 개정 후에는 직접조사를 진행하지 못한 건에 대한 정보도 조사할 수 있게 됐기 때문이다.
박 단장은 "사고 대응에 대한 권한이 명문화되고 견고해졌다고 평가하고 있다"며 "결국 기업이 이 부분에 대해 수용하지 않으면 행정 처분을 받아 기업명과 이유 등이 공지되기 때문에 과학기술정보통신부, KISA와 적극 협력해야 할 수 밖에 없다"고 역설했다.
또 그는 "뿐만 아니라 고객 안전을 위해 필요한 조치도 적극 수행해야만 하는 의무가 생겨 기업 의무확대에 따른 책임성 강화 효과가 생겼다고 말할 수 있다"고 부연했다.
한편, 정부는 LG유플러스 보안사고에 대한 중간 결과를 3월 초 발표할 예정이다. 현재 정부는 LG유플러스에 대한 처분 수위를 권고보다 더 높게 책정할 예정인 것으로 나타났다.
김가은 기자 7rsilver@techm.kr
관련기사
- 18만 고객정보 유출 LG유플러스…"다크웹 판매될때까지 몰랐다?"
- 18만 개인정보 유출 LG유플러스…KISA 신고 늦어진 이유는?
- KISA "中 해킹조직, 우리말학회 등 학술기관 12곳 무더기 침입"
- LG유플러스, 디도스에 재차 장애…"공격 지속적으로 이뤄져"
- LG유플러스에 디도스 공격 막는 '침입방지시스템' 미비..."소홀한 보안 투자로 골든타임 놓쳐"
- 고개 숙인 황현식 LG유플러스 "기본부터 다시 점검, 국내 최고 수준으로 보안 강화" (종합)
- "韓 보안 유니콘 키운다"…KISIA, 모태펀드부터 인재양성까지 '스케일업' 나선다
- 디도스 공격 받은 가비아…접속 장애로 고객사 홈페이지 '먹통'
- LG유플러스, 'U+콕' 500만 돌파 기념 '최저가 보상 프로젝트' 운영
- "산업현장 DX 주도" LG U+, 토탈 스마트팩토리 솔루션 선보인다
- 블록체인 키우는 KISA "국민 일상 속 블록체인 프로젝트 찾아낼 것"
- "LGU+ 보안사고 원인은 시스템·관리 미흡"…정부, 법제도 정비 나선다
- 한미 사이버 안보 동맹 핵심으로 떠오른 KISA…"백악관이 직접 지목"
- 개보법 2차 개정으로 달라지는 모습은?…"공공·민간·금융 마이데이터 확산 본격화"