KT·롯데카드 연쇄 사고, 초기대응 미흡
정부, 직권 조사 권한·제재 강화 예고
과기부 "정보보호, CEO 책임으로 관리"
[서울와이어=서동민 기자] KT와 롯데카드에서 잇따라 발생한 대규모 해킹 사고가 기업의 늑장 신고로 피해 규모가 확대되는 동일한 패턴을 반복한 것으로 나타났다. 정부는 "은폐·축소 의혹까지 조사하겠다"며 직권조사 권한과 제재 강화를 예고했지만 '해킹과의 전쟁'이 실제 성과로 이어질지는 불투명하다.
이번 해킹 피해는 통신과 금융 분야에서 동시에 불거졌다.
먼저 KT에서는 서울·경기 지역을 중심으로 소액결제 피해가 발생했다. 불법 초소형 기지국인 '펨토셀'을 악용한 범행 가능성이 제기된 가운데 현재까지 확인된 피해 고객은 362명, 피해액은 2억4000만원에 달한다.
롯데카드의 경우 최초에는 유출량을 1.7기가바이트(GB)로 신고했으나, 추가 조사 결과 총 200GB의 데이터가 유출된 것으로 확인됐다. 피해자는 약 297만명에 이른다. 이 가운데 269만명은 제한적 유출로 부정사용 위험이 낮고 28만명은 카드번호·유효기간 등이 포함돼 실제 피해로 이어질 가능성이 있는 것으로 파악됐다.
이번 사고의 공통점은 기업의 초기 대응 미흡이다. 최초 신고와 최종 집계 간 격차가 크고, 피해 범위가 뒤늦게 밝혀지면서 소비자 보호 조치가 지연됐다. 김민석 국무총리도 "사업자의 사고 은폐·축소 의혹이 제기되고 있다"며 사실 여부를 규명하겠다고 밝혔다.
정부는 대응책을 단계별로 제시했다. 첫째, 기업 신고가 있어야만 조사가 가능했던 기존 체계를 바꿔 정부가 직권으로 조사에 착수할 수 있도록 권한을 강화하기로 했다. 둘째, 보안 의무 위반에 대한 제재 수위를 높여 기업이 사고를 은폐하거나 늑장 신고할 경우 책임을 분명히 묻겠다는 입장이다. 셋째, 과학기술정보통신부·금융위원회·개인정보보호위원회 등 관계 부처에 통신·금융권 전반의 정보보호 체계를 전면 재정비하도록 지시했다. 이는 단순히 기업별 사고 조사를 넘어 제도·시스템 차원에서 재발 방지 장치를 강화하겠다는 의미다.
현행 법 체계는 기업이 보안 사고를 자율적으로 신고해야만 감독당국이 조사에 착수할 수 있도록 설계됐다. 전자금융거래법과 정보통신망법은 사고 발생 시 보고 의무를 두고 있으나, 보고 기한과 범위가 모호하고 위반 시 제재도 과징금이나 행정처분에 국한돼 실효성이 낮다는 지적이 꾸준히 제기돼 왔다. 이 때문에 기업이 피해 규모를 축소하거나 신고를 늦춰도 당국이 선제적으로 개입하기 어려운 구조가 형성됐다.
정부가 내놓은 직권조사 권한 강화와 제재 수위 상향은 이러한 한계를 보완하기 위한 시도다. 다만 법률 개정 없이는 강제력이 떨어지고, 정보보호 체계 재정비 역시 구체적 지침과 인력·예산이 뒷받침돼야 현장에서 작동할 수 있다.
이와 관련 과학기술정보통신부는 23일 서울 송파구 한국정보보호산업협회에서 국내 주요 기업 정보보호최고책임자(CISO)를 대상으로 긴급 보안점검회의를 열고 기업의 정보보호를 최고경영자(CEO)의 책임으로 명확히 하고 관련 점검을 강화하기로 했다.
정부는 특히 이날 회의에서 정보보호가 CEO가 직접 책임지는 사안으로 관리되고 있는지, CISO가 충분한 권한을 보장받고 있는지, 또 이사회와 경영진이 보안 업무에 적극 관여하는지를 중점적으로 점검한 것으로 전해졌다.