[환경포커스=국회]  국회입법조사처(처장 이관후)는 2025년 5월 21일(수) 해킹 사전 예방을 위한 정보보호 강화 방안」을 다룬 '이슈와 논점'고서를 발간하였다.

 

이 보고서는 4월 18일에 발생한 SKT 해킹 사고에서 지적되고 있는 정보보호의 문제점과 제도적 한계를 사전예방을 중심으로 살펴보고, 개선과제를 제시하였다.

 

이동통신사 해킹 사고가 반복되고 있어 이를 예방하기 위해 정보보호 체계를 개선할 필요가 있다.  2012년과 2014년 KT, 2023년 LG유플러스 해킹 사고에 이어 2025년 4월 SKT 해킹 사고까지 이동통신사 대상 해킹 사고가 반복되고 있다.

 

특정 국가나 조직이 이동통신사의 핵심 시스템을 해킹해 통신망을 장악하거나 마비시킬 경우 대규모 개인정보 유출을 넘어 국가적 사이버 안보 위협으로 확산될 수 있다. 이러한 위협을 사전에 차단하고 해킹 사고를 예방하기 위해서는 정보보호 관련 제도 보완이 필수적이다.

 

국회 청문회에서는 SKT의 정보보호와 관련한 여러 미비점이 지적되었고, 정부도 이번 사고를 계기로 정보보호 체계 전반에 대한 개선 의지를 표명한 바 있다. 이에 따라 향후 실효성 있는 대책 수립을 위해 이동통신사의 정보보호 체계 개선 방안을 제시한다.

 

이동통신사의 정보보호 투자 확대를 유도하기 위해 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 ‘정보통신망법’)을 개정하는 방안을 고려할 수 있다.

 

2025년 4월 30일과 5월 8일에 있었던 국회 청문회에서는 SKT의 정보보호 투자가 미흡했다는 지적이 제기되었다. 2024년 기준 SKT의 정보보호 투자금액(600억 원)은 KT(1,218억 원)의 절반에도 미치지 못하고, LG유플러스(632억 원)보다도 적은 금액이다.

 

정보통신망법에 정보보호예산이 정보기술부문 예산의 일정비율 이상이 되도록 노력할 의무를 명시하는 방안을 고려할 수 있다.

 

참고로, 「전자금융감독규정」(금융위원회 고시)은 종전 제8조에서 금융회사 또는 전자금융업자가 정보보호예산을 정보기술부문 예산의 100분의 7 이상이 되도록 노력할 의무를 규정하고 있었다. 그러나 금융권의 자율보안 역량 강화를 위해 정보기술 및 정보보호 분야별 전문 인력과 충분한 예산을 확보하도록 의무화하는 방식으로 2025년 2월 개정되었다.

 

또한 정보통신망법을 개정하여 이동통신 등 보안 관련 고위험 산업군에 대해 강화된 인증 기준을 적용하는 등 정보보호 인증 체계 전반을 개선할 필요가 있다.

 

SKT가 정부가 부여하는 정보보호 인증을 받았음에도 불구하고 심각한 해킹 사고가 발생함에 따라 인증 제도의 실효성에 대한 의문이 제기되고 있다.

 

정보통신망법을 개정하여 이동통신 등 보안 관련 고위험 산업군에 대해 강화된 인증 기준을 적용하고, 중대한 법령위반 시 인증을 취소할 수 있는 근거와 과징금 부과 근거를 마련하는 방안을 검토해 볼 수 있으며, 매년 1회 이상 실시하는 인증기관의 사후심사 시 현장심사를 강화할 필요가 있다.

 

주요정보통신기반시설의 지정 범위를 확대하고, 「정보통신기반 보호법 시행령」을 개정하여 지정 절차를 강화하는 방안을 검토해 볼 수 있다.

 

이번에 해킹된 서버는 보안 침해 시 국가 통신기반에 광범위한 혼란을 초래할 수 있음에도 불구하고, 주요정보통신기반시설에서 제외된 채 사각지대에 놓여 있었다.

 

정부는 이동통신사의 핵심 서버 등이 주요정보통신기반시설 지정 대상에서 누락되지 않도록 주요정보통신기반시설의 지정 범위를 확대하여야 한다.

 

현행 「정보통신기반 보호법 시행령」은 관리기관이 선정한 지정단위 및 세부시설에 대해 자체평가를 수행하고, 정부는 자체평가 결과를 심사하되, 필요 시 관계전문가로 구성된 협의회에서 심의할 수 있도록 규정하고 있다. 이동통신 등 고위험 산업군에 대해서는 협의회 심의를 의무화하는 방향으로 법령 개정이 필요해 보인다.