최근 SK텔레콤과 KT 등 주요 통신사에서 잇따라 개인정보 유출 및 해킹 사고가 발생하면서 국민 불안이 증폭되고 있다.

문제는 기업이 '자진신고'를 하지 않으면 정부가 사실상 손을 쓸 수 없는 현행 제도 탓에 조사가 지연되고 피해 확산을 막지 못했다는 점이다.

이에 국회와 정부가 직접 칼을 빼 들고, 해킹 정황만으로도 직권조사에 착수할 수 있는 법적 근거 마련과 제도 전면 개편에 나섰다.

16일 <메트로경제신문> 취재를 종합해보면 최근 연달아 불거진 개인정보 유출·해킹 사건으로 국회와 정부 모두 대응책을 서두르고 있다. 지난 4월 SK텔레콤에서 유심(USIM) 해킹이 발생한 데 이어, 이달에는 KT 가입자 280여 명이 본인도 모르게 소액결제 피해를 당하는 사건이 이어졌다. LG유플러스 역시 미국 보안 전문지가 해킹 의혹을 제기했으나 "침해 사실이 없다"고 부인했다.

하지만 서버 접근 제어를 맡은 협력사 시큐어키가 지난 7월 한국인터넷진흥원(KISA)에 해킹 사실을 자진 신고한 사실이 뒤늦게 드러났고, KISA가 실제 유출 데이터를 근거로 재차 신고를 요청했음에도 LG유플러스가 이를 외면한 사실까지 밝혀지면서 파장은 더욱 커졌다. 결국 '셀프신고'에 의존하는 구조적 문제가 수면 위로 떠오른 셈이다.

이번 사태는 기업이 침해 사실을 숨기거나 신고를 미루면 정부가 신속히 대응할 수 없다는 점을 여실히 보여줬다. 실제로 과징금이나 집단소송을 우려해 기업이 고의로 신고를 회피하거나 증거를 인멸할 경우, 피해는 고스란히 국민에게 전가될 수밖에 없다. 정치권과 전문가 사회에서 "정부가 해킹 정황만으로도 조사에 착수할 수 있어야 한다"는 목소리가 동시에 힘을 얻는 이유다.

국회는 이미 제도 개선에 시동을 걸었다. 최민희 국회 과학기술정보방송통신위원장은 기업 신고 여부와 무관하게 정부가 침해사고 조사를 개시할 수 있도록 하는 '정보통신망법' 개정안을 발의했다. 개정안은 '침해사고 조사심의위원회'를 신설해 해킹 정황이 발견되거나 중대한 사고가 발생했을 때 위원회 판단에 따라 정부가 즉시 조사할 수 있도록 하는 내용을 담고 있다. 기업의 은폐와 지연을 원천 차단하겠다는 취지다.

정부도 현 제도의 한계를 인정했다. 배경훈 과학기술정보통신부 장관은 취임 직후 가진 첫 기자간담회에서 "기업 신고가 있어야만 조사가 가능한 체계를 반드시 바꿔야 한다"며 "침해사고가 의심되면 곧바로 대응할 수 있는 법적 장치가 필요하다"고 강조했다. 과기정통부는 2차관을 중심으로 '정보보호 체계 대응 TF'를 꾸리고 대기업뿐 아니라 중소기업까지 포괄하는 종합 대책을 마련 중이다.

하지만 논란은 기존 제도의 실효성으로 번졌다. 국내 통신 3사는 모두 정부의 '정보보호 및 개인정보보호 관리체계(ISMS-P)' 인증을 보유하지만, 대규모 해킹을 막지 못해 유명무실하다는 비판을 받고 있다. 국회 입법조사처도 "2014년 KT, 2023년 LG유플러스 해킹 당시에도 인증을 유지했다"며 제도의 유명무실화를 지적했다.

보안 투자 현황을 공개하는 '정보보호 공시제도' 역시 실효성이 낮다는 지적이다. 실제로 KT와 LG유플러스는 올해 공시에서 보안 인력이 전년 대비 오히려 줄어든 것으로 나타났다. 전문가들은 전자금융감독규정을 참고해 IT 예산의 일정 비율을 보안에 의무적으로 투입하도록 법제화해야 한다고 주장한다.

ISMS 인증 관리·감독도 강화가 필요하다. 중대한 해킹 발생 시 인증을 취소하는 등 실질적인 제재 수단이 도입돼야 한다는 의견이 제기된다. 특히 통신사들은 전자결제, 상품권 판매 등 사실상 금융업을 수행하고 있어 금융사 수준의 보안 의무를 져야 한다는 지적도 높다.

업계 관계자는 "지금처럼 자진신고에만 의존하면 누가 먼저 손해 보려 하겠느냐"며 "과징금과 소송 리스크 때문에 '쉬쉬'하는 분위기가 생길 수밖에 없다. 정부가 정황만으로도 조사할 권한을 가져야 제도가 제대로 작동할 것"이라고 말했다.