올해는 국내에 사이버 공격으로 침해 사고가 급증할 것으로 예상된다. 사이버 침해 사고는 2019년 418건, 2020년 603건, 2021년 640건에서 지난해 1100건을 넘어섰다. 이 같은 사이버 공격에는 피해 기업이 위협 확산 방지를 위해 관련기관에 신고 의무가 있다. 그러나 공격당한 대다수 기업이 신고를 하지 않아 이 규정이 유명무실하다.
보안업계에 따르면 사이버 공격을 받은 기업이 공격 사실을 은폐하는 사례가 지속되고 있다. 랜섬웨어 공격을 받은 피해 기업은 공격자인 해커와 직접 협상하고서도 이를 관련기관에 알리지 않았다. 사이버 인질범인 랜섬웨어는 기업 자료나 시스템을 암호화하고서 금전을 요구하는 공격기법이다. 피해 기업 중에는 암호 해제 대가로 수십억 원을 해커에게 지급한 것으로 나타났다.
신고하지 않은 사례가 랜섬웨어에 집중되는 것은 공격 사실은 당사자와 해커만 알기 때문이다. ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’(정보통신망법) 제48조의3(침해 사고의 신고 등)은 정보통신서비스 제공자는 침해 사고가 발생하면 즉시 그 사실을 과기부 장관이나 한국인터넷진흥원에 신고하도록 의무화했다. 미신고는 1000만원 미만의 과태료를 부과할 수 있다.
침해 신고대상자는 상업 목적의 인터넷 웹사이트를 개설 운영하거나 인터넷 서비스를 제공하는 기업이다. 보안업계는 랜섬웨어 등 사이버 공격을 당하고서 신고하지 않은 피해 건수는 신고 건수의 수십 배 이상일 것으로 추정하고 있다. 사고 발생 건수의 10%도 신고로 이어지지 않아 신고 건수와 격차가 상당히 크다.
다양한 사유로 침해 기업을 사실을 알리지 않는 것으로 판단된다. 외부 기관에 보안 체계를 점검받는 것과 개인정보 유출로 제재에 따른 기업 이미지 하락 등의 우려다. 신고 의무 규정을 알지 못하거나 책임 소재가 분명하지 않아 신고하지 않기도 한다. 신고하지 않아도 적발되지 않고, 제재 사례가 드물어 신고를 꺼리기도 한다.
이 같은 미신고는 민간 사이버 위협 대응 체계 작동에 걸림돌이 되고 있다. 민간 부문의 사이버 침해 대응은 피해 신고로 시작된다. 과기부와 한국인터넷진흥원이 침해 사고 원인을 분석하여 피해 확산 방지와 사고 대응, 피해 복구와 재발 방지 대책 등 필요한 조치를 권고하고 이행한다. 이 체계가 피해 기업의 미신고로 가동되지 못하고 있다.
민간 기업 침해 사실이 해커를 통해 공개되기도 한다. 기업이 스스로 신고하지 않으면 피해 사실을 알 수도 없다. 공공부문과 달리 민간은 피해 신고가 없으면 적절한 공격 분석과 대응을 할 수 없다. 신고 등 민간 사이버 대응 체계 전반에 개선이 필요하다. 미신고 기업의 일률적인 처벌 강화 등은 사이버 위협 확산 방지라는 본래의 목적을 훼손할 수 있다.
이용자 수가 많은 기업 규모가 큰 대형 사업자는 사이버 신고와 대응책임을 강화하고 상대적으로 중견이나 중소기업은 다양한 지원 등으로 신고 유도가 필요하다. 현행의 신고 의무는 신고한 기업의 과실과 사고 책임을 인정할 수도 있다. 사실상 무용한 과태료 부과 조항을 삭제하고 기업이 자유롭게 사이버 위협과 관련하여 도움을 받을 수 있도록 개선이 요구된다.
정순채 동국대학교 겸임교수, 서울디지털대학교·경희사이버대학교 객원교수, 법무법인 린 전문위원