[미디어펜=배소현 기자] 올 한해 통신3사 등을 강타한 각종 해킹 사태와 관련해 기업들의 '늑장 신고' 논란이 지속적으로 거론되고 있다. 이 가운데 일각에선 정부의 과도한 제재는 기업의 자진 신고를 위축시킬 수 있다는 우려가 결국 현실이 된 것 뿐이란 탄식이 나온다. 해킹 사고 예방과 대응에 보다 장기적·근본적으로 접근하기 위해선 '공유와 협업'에 방점을 둔 장려책이 우선돼야 한다는 지적이다.

23일 업계에 따르면 정부는 최근 연이은 해킹 사고로 전국민적 불안이 높아지자 '범정부 정보보호 종합대책'을 내놓았다. 내년 상반기부터 모든 상장사는 정보보호 현황을 공시해야 한다는 것 등을 골자로 한다.

구체적으로 정부는 우선 1600여 개의 IT(정보기술) 시스템에 대해 대대적인 보안 취약점 점검을 수행하고 통신사의 경우 실제 업무 중 불시로 해킹을 시도하는 등 강도 높은 점검에 나선다는 방침이다.

특히 해당 대책에는 경찰 신고·제보 등 해킹 정황이 제기될 경우 기업의 신고 없이도 정부가 직권 조사를 할 수 있도록 권한을 확대한다는 내용이 담겼다. 

개인정보 유출을 인지했음에도 신고가 늦어지거나 재발 방지 대책 미이행 등 보안 의무를 위반할 경우에는 과태료 및 과징금 한도도 높아진다. 

이 외에도 CEO(최고경영자)의 보안 책임 원칙을 법령상 명문화해 관련한 중대한 문제가 발생했을 시 법적으로 CEO를 해임할 수 있도록 하는 내용도 포함됐다.

정부의 이 같은 대책은 KT가 무단 소액결제 사고가 발생한 당시 늑장 신고로 피해를 키웠다는 지적이 나온데 이어, 미국 보안 전문지 '프랙'을 통해 해킹 의혹이 제기됐던 LG유플러스도 "서버 침해 흔적이 없다"며 신고가 늦어진 데 따른 조치로 풀이된다.

다만 전문가들을 중심으로는 이번 정부 대책의 기조가 엄벌에 맞춰진 데 대한 아쉬움이 제기된다. 

SK텔레콤(SKT) 선례를 고려할 때, KT와 LG유플러스에 제기된 늑장 신고 논란 자체가 제재 중심의 정부 대응이 민간 부문의 자발적인 정보 공유 분위기를 위축시킬 수 있다는 점을 방증한다는 지적이다.

앞서 유심 해킹 피해를 겪은 SKT는 지난 8월 개인정보보호위원회로부터 과징금 1347억9100만 원, 과태료 960만 원이라는 역대 최대 규모의 철퇴를 맞았다.

당시 업계에서는 해당 처분의 적정성과 형평성을 두고 의구심을 표하는 분위기가 지배적이었다. 특히 구글과 메타 등 고의적·영리적 목적으로 법을 위반한 해외 사례보다 국내 해킹 피해 기업에 더 높은 수준의 과징금을 부과한 데 대해선 '과도한 기업 때리기'라는 비판이 제기됐다.

이와 관련해 김휘강 고려대학교 정보보호대학원 교수는 "해킹 조직이 의도적으로 공격을 감행할 경우, 보안에 지속적으로 투자해온 기업이라도 피해를 완전히 막기 어렵다"며 "해킹 현장에서 확보한 정보를 공유해 집단 대응을 장려하는 제도적 장치가 필요하다"고 목소리 높이기도 했다.

또 김 교수는 "해킹 피해 기업에 대한 처벌에만 집중되면 향후 해킹 사실을 오히려 숨기려는 분위기가 형성되는 등 부작용이 커질 수 있다"며 "보안 침해 사고에 대한 대응을 '책임과 엄벌'에서 '공유와 협업', 그리고 '집단 대응'으로 전환해야 한다"고 강조했다.

이에 일각에서는 이번 '범정부 정보보호 종합대책'을 두고도 정부가 처벌 중심의 대응을 넘어 거시적 관점에서 보안 인프라를 강화하고, 피해 확산 방지에 적극적으로 나선 기업에는 과징금 감면 등의 당근책도 마련할 필요가 있다고 주장한다.

한 업계 관계자는 "실질적인 해킹 대응 체계를 구축하려면 피해 발생 시 기업이 자발적으로 신고하고 정보를 공유할 수 있는 환경이 먼저 조성돼야 한다"며 "징벌적 제재보다도 인센티브를 병행하는 유인책이 필요하다"고 말했다.