상반기만 1,000여 건 침해사고, 신고 지연·기술지원 거부가 재발 불러
KISA "백업해도 44% 재발…신고 지연·기술지원 거부 심각"
"정부·학계 '특사경 필요' 공감…법조계, 범위·권한 신중해야"
[서울=뉴스핌] 양태훈 기자 = 잇따른 대형 해킹 사고로 국민 불안이 고조되는 가운데, 국회에서 현행 사이버 침해사고 대응 체계의 구조적 한계를 지적하고 이를 보완하기 위한 특별사법경찰(특사경) 제도 도입 필요성이 본격적으로 논의되기 시작했다.
25일 국회의원회관에서 열린 '사이버 침해사고 대응 강화 방안' 토론회에서는 올해 초부터 이어진 SK텔레콤, KT, 롯데카드, 예스24 등 연쇄 해킹 사건을 계기로 현행 대응 체계의 한계를 짚고 대안을 모색하는 목소리가 이어졌다.
첫 번째 주제 발표자로 나선 박용규 한국인터넷진흥원(KISA) 디지털위협대응본부 위협분석단 단장은 "올해 상반기에만 약 1,000여 건의 침해사고 신고가 접수됐고, 연말까지 2,000건에 이를 것으로 예상된다"며 "작년 한 해(1,887건)보다 가파르게 증가하는 추세"라고 경고했다.
박 단장은 특히 대기업·중견기업을 겨냥한 공격이 늘고 있다는 점을 강조했다. 그는 "예스24, SGI서울보증, 웰컴금융 계열 대부업체 등 대형 조직을 상대로 한 침해사고가 두드러졌다"며 "국민 불편과 불안을 극대화하려는 공격자들의 전략적 선택"이라고 설명했다.
이어 "랜섬웨어나 서버 해킹이 주요 원인인데, 기업의 76.8%가 백업 체계를 갖췄음에도 불구하고 44%는 여전히 재발 피해를 겪고 있다"며 "신속한 신고와 기술 지원 거부 해소가 관건"이라고 강조했다.
KISA에 따르면, 기술 지원을 거부하는 기업 비율이 40%에 달해 원인 규명과 재발 방지에 공백이 생기고 있다.
박 단장은 "소프트웨어 취약점, 계정 정보 유출, 중앙 관리 솔루션을 통한 공격이 주요 원인으로 확인되고 있다"며 "특히 계정 정보는 다크웹에서 활발히 유통되며 해커들의 초기 침투 단서로 악용된다"고 지적했다.
나아가 "증거 데이터는 휘발성이 강해 시간이 지나면 확보가 어렵다"며 "현장 확보 권한과 법적 뒷받침이 강화돼야 한다"고 강조했다.
실제 사례도 제시됐다. 박 단장은 "현대자동차는 특정 시스템 침해 발생 직후 전 계열사 계정을 일제히 갱신해 추가 피해를 막은 좋은 사례"라며 "반면 예스24나 일부 통신사는 신고 지연으로 피해 확산 위험이 컸다. 하이트진로처럼 탄탄한 백업 체계를 구축한 기업은 빠르게 정상 운영으로 복귀했지만, 신고가 늦은 기업은 같은 원인으로 재차 피해를 보는 경우가 많았다"고 전했다.
이어 '디지털 범죄 수사·대응 체계 개선 방안'을 주제로 발표에 나선 홍준호 성신여대 교수는 "사이버 범죄는 지능화·고도화되고 있는데, 우리는 여전히 신고 지연과 조사의 한계로 골든타임을 놓치고 있다"고 지적했다.
또 KISA 자료를 인용해 "최근 2년간 침해사고가 48% 증가했고, 중소·중견기업이 전체 랜섬웨어 피해의 94%를 차지했다"며 "자원과 인력이 부족한 기업일수록 피해가 집중된다"고 분석했다.
홍 교수는 현행 제도의 실효성 문제도 짚었다. 그는 "ISMS-P(Information Security Management System & Privacy) 인증은 형식적 체크리스트 심사에 그쳐 실제 취약점을 걸러내지 못한다"며 "기업 컨설팅 대비가 아닌, 심사원이 직접 위험 요소를 파악할 수 있는 심사 체계로 바꿔야 한다"고 말했다.
이어 "사이버 공격으로 탈취된 정보가 2차 범죄로 악용되는 사례가 늘고 있다"며 "전주기적 관점에서 사고 예측–대응–사후 예방–복구로 이어지는 체계가 필요하다"고 강조했다.
특히 특사경 제도의 부재를 문제로 지적하며 "사법경찰직무법을 개정해 사이버 범죄 분야로 확대하고, 민간 특사경 제도까지 활용하는 방안이 필요하다"고 주장했다.
아울러 "정보보호최고책임자(CISO)와 보안 담당 인력은 대부분 15명 미만, 그마저 70%는 5명 미만"이라며 "이 인력·예산 구조에서 보안 책임만 묻는 건 불합리하다. 기업이 보안 투자에 나설 수 있도록 인센티브 제도도 병행해야 한다"고 말했다.
이날 토론회에 참석한 보안 전문가들은 KISA에 특사경 권한을 부여하는 방안에 대해 공감하면서도 법적·제도적 정비와 전문성 확보가 전제돼야 한다는 신중론을 제기했다.
정배근 인천대 교수는 "특사경 도입 당위성은 사고의 긴급성과 수사 전문성에 있다"면서도 "KISA는 민간 성격이 강한 만큼 법리적으로 조심스러운 접근이 필요하다"고 지적했다.
그는 "행정조사와 범죄 수사는 성격이 다르다. 기업이 협조하지 않는다고 해서 수사권을 근거로 강제 조사에 나선다면 위험하다"며 우려를 표했다. 다만 "해킹·침해사고는 본질적으로 범죄 성격이 강하다"며 "조사가 아닌 범죄 혐의 인지 단계에서 수사를 개시할 수 있도록 법적 제도 정비가 필요하다"고 말했다.
최광기 과학기술정보통신부 사이버침해대응과장은 "망법 개정으로 '즉시 신고'가 24시간 내 신고로 명확해졌지만, 여전히 신고 전 정황 대응은 한계가 있다"며 "다크웹이나 텔레그램에서 포착된 침해 정황에도 선제 대응할 수 있도록 국회에서 개정안이 발의됐다"고 설명했다.
최 과장은 또 "통신사 등 주요 사업자와 협의해 직권 조사 방안을 추진하고 있다"며 "다만 특사경 도입 시 경찰 등 관계기관과의 역할 분담, 관할 조정은 반드시 논의돼야 한다"고 덧붙였다.
그는 "일부 기업은 사고를 계기로 보안 역량을 강화하지만, 일부는 은폐하려 한다"며 "자발적 신고를 유도하려면 제재 완화 등 인센티브 정책이 필요하다"고 말했다.
김영민 법무법인 케이씨엘 변호사는 "미국은 필요할 때마다 대학·공원·기관마다 경찰 조직을 만든다. 반면 한국은 모든 범죄를 일반 사법경찰이 수사한다"며 "그럼에도 환경·식품·노동 분야처럼 특사경 제도가 운영돼 왔다"고 설명했다.
김 변호사는 "사이버 범죄는 증거 소멸 속도가 빨라 신속 대응이 필수"라며 "따라서 특사경 필요성은 분명하다. 그러나 수사권은 국민 기본권을 침해할 소지가 큰 만큼 업무 범위를 명확히 하고 통제 장치를 두는 게 핵심"이라고 강조했다.
김진국 플레인비트 대표는 보안 업계 입장에서 기술적 한계를 강조했다. 그는 "과거 HDD 시절에는 삭제된 로그도 복구가 가능했지만, SSD 환경에서는 복구가 불가능하다"며 "해커가 로그를 100% 삭제하고 나가면 남은 데이터만으로 사건을 규명해야 한다"고 말했다.
이어 "기업이 로그 보존·백업 규정을 강화해야 사고 원인 분석이 가능하다"며 "특히 SK텔레콤 해킹처럼 공격자 IP가 다른 인프라로 확산되면, 신속히 차단하지 못하면 피해가 눈덩이처럼 불어난다"고 경고했다.
또 "국내에 남아 있는 공격자 인프라를 민간이 임의로 차단하면 정보통신망법 위반 소지가 있다"며 "KISA가 특사경 권한을 가진다면 합법적으로 공격 인프라 제거에 나설 수 있을 것"이라고 제안했다.
dconnect@newspim.com
