사이버 공격으로 인한 개인정보 유출 피해를 입은 기업들이 신고를 기피하고 있다. SK텔레콤이 뭇매를 맞는 상황을 본 뒤 과학기술정보통신부와 한국인터넷진흥원(KISA)에 신고하면 일이 커진다고 생각하기 때문이다. 신고 대신 조용히 과태료만 내고 끝내는 경우가 많아 제도에 허점이 있다는 지적이 나온다.
10일 IT업계에 따르면 최근 발생한 디올 등 해외 명품 브랜드와 KS한국고용정보의 개인정보 유출 사건에서 기업들은 개인정보보호위원회(이하 개보위)에만 사고를 신고하고, 사이버 공격 담당 부처 및 기관인 과기정통부와 KISA에는 신고하지 않은 것으로 확인됐다.
정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법) 제48조는 정보통신서비스 제공자가 침해 사고가 발생하면 즉시 그 사실을 과기정통부나 KISA에 신고해야 한다고 규정하고 있다.
업계 관계자는 “과기부와 KISA의 조사는 기업 입장에서 부담이 크다”며 “조사 과정에서 추가적인 문제점이 드러날 수 있고, SKT 개인정보 유출 사태처럼 여론의 뭇매를 맞을 가능성도 있기 때문”이라고 말했다.
개인정보보호법의 경우는 개인정보 분실·도난·유출 등 사고가 발생했을 경우 72시간 내에 당사자에게 고지하고, 개인정보보호위원회에도 신고하도록 규정한다. 다만 이는 사이버 공격 사태 조사로 이어지지는 않고, 개보위에서 제재 수위만 결정해 통보하는 절차로 이어진다.
위반 시 과태료는 3000만원 이하로 정보통신망법 상 신고의무 위반과 같지만, 주민등록번호 유출 또는 안전조치 위반 등 심각한 위반 시에는 최대 5억원의 과태료 부과가 가능하다. 개보위는 자체적으로 개인정보 유출 피해 정도에 따라 최대 매출의 3%에 해당하는 과징금을 부과할 수 있다.
SKT 해킹 사태의 경우, 단독으로 개인을 식별할 수 있는 정보 유출은 없었지만 과기정통부와 KISA의 조사가 시작되며 여론의 뭇매를 맞았다.
반면 까르띠에, 디올, 티파니 등 해외 명품 브랜드 해킹 사고의 경우 고객의 이름, 연락처, 구매 내역 등 민감 정보들이 대거 유출됐지만 이를 비난하는 목소리는 없다. KS한국고용정보 역시 구직자들의 개인정보가 포함된 데이터베이스가 유출된 뒤 신고를 누락했다.
명품 브랜드 직원은 “사이버 공격 피해가 공개되면 고객 신뢰가 하락하고 매출에 직접적인 영향을 미칠 수 있다”며 “이 때문에 기업들이 신고를 꺼리고, 과태료를 납부하는 편을 선택하는 경우가 많다”고 설명했다.
과태료 3000만원은 대기업 입장에서 부담이 크지 않은 금액으로, 신고로 인한 리스크를 감수하는 것보다 경제적으로 더 합리적이라는 계산이 깔려 있다는 분석이다.
기업들의 신고 기피는 단순히 벌금을 내는 문제로 끝나지 않는다. 과기정통부와 KISA는 침해 사고 신고를 통해 사고 원인을 분석하고, 유사 사고를 예방하기 위한 기술적·정책적 대책을 마련한다.
신고가 누락되면 당국은 사고의 규모와 영향을 정확히 파악할 수 없고, 이는 사이버 보안 체계 전반에 부정적인 영향을 미친다. 지난해 KISA에 접수된 침해 사고 신고 건수는 1887건으로 실제 발생한 사고의 일부에 지나지 않을 것으로 추정된다.
보안업계 관계자는 “신고하지 않은 사고가 드러나지 않으면 기업은 책임을 회피할 수 있지만, 장기적으로는 사이버 공격이 더욱 정교해지고 피해가 커질 가능성이 높다”며 “개보위와 과기정통부의 역할이 나뉘어 있다 보니 기업들이 이를 악용해 신고를 선택적으로 하는 경우가 생긴다”고 지적했다.
김성현 기자minus1@ajunews.com
기자의 다른기사
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지
![[르포] 중력 6배에 짓눌려 기절 직전…전투기 조종사 비행환경 적응훈련(영상)](https://image.ajunews.com/content/image/2024/02/29/20240229181518601151_258_161.jpg)
