[프레스데일리 김익수 기자] 4월 18일 발생한 SK텔레콤의 대규모 해킹 사태를 계기로, 기업과 정부의 대응 체계가 허술하다는 지적이 이어지고 있다.

국회입법조사처(처장 이관후)는 5월 7일 발표한 '이슈와 논점' 보고서를 통해 “SKT 해킹 사태는 사회기반망에 대한 중대한 위협이자 국가안보 사안으로, 현행 법제도의 미비점이 여실히 드러난 사례”라고 지적하며, 관련 법률의 조속한 개정이 필요하다고 밝혔다.

보고서는 특히 이번 사태에서 △기업의 소극적 대응 △정부의 신속한 개입 부재 △법률상 피해자 보호 장치의 한계 등이 중첩되어, 국민의 불안과 피해를 키웠다고 평가했다.

유출 대상 특정 안 돼도 “즉시 전체 통지해야”

보고서에 따르면, SKT는 해킹 직후 홈페이지 공지 외 별다른 대국민 안내를 하지 않다가 사건 발생 5일이 지난 4월 23일에야 전체 가입자 대상 안내 문자를 발송했다. 입법조사처는 “개인정보 유출 위험이 명확할 경우, 피해자 특정 여부와 관계없이 기업이 전 가입자에게 경고와 대응 방법을 신속히 통지하도록 개인정보 보호법을 개정해야 한다”고 제언했다.

현행법상 유출된 개인정보의 범위와 피해 대상이 특정되어야만 개별 통지 의무가 생기는데, 이는 실시간 해킹 상황에서 현실적으로 작동하기 어렵다는 비판이다. 보고서는 “최악의 시나리오를 가정한 선제적 대응이 가능하도록 법률적 근거를 보완해야 한다”고 지적했다.

“재난급 해킹에 재난문자 없었다”…경보체계 입법 필요

또한 보고서는 이번 SKT 사태처럼 통신망 해킹이 전국적으로 확산되거나 대규모 피해를 유발할 가능성이 있을 경우, 정부가 재난문자 등을 통해 즉각 국민에게 알릴 수 있도록 정보통신망법 또는 방송통신발전 기본법의 개정이 필요하다고 강조했다.

2022년 카카오 서비스 중단 당시에는 「재난 및 안전관리 기본법」을 근거로 정부가 재난문자를 3차례 발송한 전례가 있지만, 이번 SKT 해킹 사고에서는 이 같은 조치가 없었다. 보고서는 “정보통신망 침해사고를 ‘방송통신재난’으로 규정하거나, 정보통신망법에 별도의 경보발령 근거를 마련하는 방안을 검토할 필요가 있다”고 밝혔다.

해킹 조사 강제권도 ‘구멍’…정부 조사권 보완 필요

정부가 구성한 민관합동조사단은 SKT로부터 자료를 요청하고 분석하고 있으나, 강제력이 부족하다는 점도 문제로 지적됐다. 보고서는 “조사 협조를 이행하지 않을 경우 과태료나 이행강제금 부과 등 실효성 있는 제재 수단을 정보통신망법에 명시할 필요가 있다”고 밝혔다.

이는 해킹 사고 은폐나 축소 보고를 막기 위한 최소한의 수단이며, 동시에 정부가 보다 신속하게 실태를 파악하고 후속 조치를 취할 수 있도록 하는 장치라는 설명이다.

피해자 보호와 보상 체계도 입법 미비

보고서는 피해자에 대한 실질적 구제 조치가 미흡하다는 점도 함께 지적했다. 유심 무상 교체, 해킹 피해 보상 기준 마련 등 기업의 적극적 조치를 의무화하고, 피해자가 개인정보 유출과 2차 피해 간 인과관계를 입증하지 않아도 보상을 받을 수 있도록 법제화할 필요가 있다는 것이다.

특히 “개인정보 보호법에 인과관계를 추정하는 조항을 신설해 피해자가 입증 책임을 온전히 지지 않도록 해야 한다”고 제언했다.

“사이버위협, 재난 수준으로 다뤄야”

입법조사처는 “이동통신망 핵심부 해킹은 단순한 민간 기업의 보안사고를 넘어 사회 전반에 심대한 영향을 줄 수 있는 재난”이라며, “정보통신 분야의 위기 대응 체계를 근본적으로 재점검할 시점”이라고 강조했다.

이번 보고서를 계기로 국회 차원의 입법 논의가 본격화될지 주목된다. 통신망 해킹 사고가 반복되고 있는 상황에서 정부와 기업의 책임을 명확히 하고, 국민의 신뢰를 회복할 수 있는 실질적 제도 개선이 요구되고 있다.