지난해 12월 정보통신망법 개정을 통해 정부가 모든 해킹 피해 기업에 자료 제출을 요구할 수 있는 권한이 강화되면서 사이버공격 발생시 기업들이 더 적극적인 대처에 나서게 될 전망이다. 자료 제출을 거부할 경우 과태료 부과 규정 등도 신설되면서 해킹 문제에 대한 기업들의 책임이 더 커졌다는 분석이다.
박용규 한국인터넷진흥원(KISA) 침해사고대응단장은 지난 24일 서울 강남구 한 공유오피스에서 열린 기자간담회 '이슈앤톡'에서 "기업들이 적극적인 피해 조치에 나서고, 정보 공유에 동참할 수 있을 것"이라고 말했다.
지난해 12월 11일부터 시행된 개정 정보통신망법은 침해사고가 발생했을 때 피해확산 방지를 위한 기업의 의무·조치사항을 구체화하고, 당국의 자료 제출 요구 및 권고 권한을 명문화했다.
그간 당국은 침해사고를 당한 기업에 자료를 요청할 수 있었지만, 이를 거부해도 법적 처벌할 근거가 없어 일부 기업은 피해를 입고도 데이터를 정부에 내지 않았다. 결국 당국은 사고조사 등 피해확산 대응에 어려움을 겪었고 기존 법을 손질했다.
과태료 부과 내용도 추가됐다. 정부는 기업이 자료제출을 거부하면 최대 1000만원의 과태료를 부과할 수 있다. 자료를 보전하지 않고 포맷하거나, 거짓 자료를 내는 경우도 포함된다. 과태료 금액은 위반 횟수에 따라 다르다. 1회 300만원, 2회 600만원, 3회 1000만원이다.
박 단장은 "기존에는 당국이 필요한 자료를 요구했을때 기업이 이행하지 않아도 법적인 처벌을 받지 못했다"며 "따라서 발생된 사고에 대한 원인을 (우리가) 직접적으로 들여다보지 못하는 한계가 있었다"고 말했다.
앞으로 정부의 사고 분석 형태 역시 달라진다. 기존에는 원격·기업 현장조사 등 직접 조사에 국한됐다. 이제는 '직접조사'와 제출자료 검토 방식의 '간접조사' 등 2가지 방식이 병행된다.
그는 "기업 자체 조사 건에 대한 사고 정보와 분석 결과 등 정보 수집이 확대될 것"이라며 "현장조사 진행 여부와 관계없이 필요에 따라 자료제출을 적극 요구해 기술지원 동의 기반의 사고조사에서 탈피하겠다"고 말했다.
개정안에 추가된 내용은 이뿐만이 아니다. 최근 LG유플러스의 디도스(DDoS)·개인정보유출 같은 중대 침해사고를 대응하는 민관합동조사단의 목적 역시 구체화됐다. '공격 원인 분석'과 '대책 마련'이라는 내용도 새롭게 추가됐다. 박 단장은 "기존에는 (민관합동조사단이) 피해 확산·방지·사고 대응·복구·재발방지를 위해 구성할 수 있다로 명시됐다"고 설명했다.