사이버 침해사고 발생 시 보안 점검과 조치, 사고 분석을 위한 법률적 근거가 필요하다는 주장이 나왔다.
백기승 한국인터넷진흥원(KISA) 원장은 최근 출입기자단과 만나 "침해사고 조사를 나갈 때 법적 근거와 관련한 문제에 부딪힐 때가 있다"라며 "집행 기관의 권한 등에 대해 법적으로 검토할 때가 됐다고 생각한다"라고 말했다.
보안 침해사고가 발생하면 원인 분석과 조기 대응 등을 위한 공격 시스템 분석이 필요하다. 하지만 공격 시스템 소유자의 사고 분석 동의와 협조를 구하기 어려워 분석과 자료 수집에 어려움을 겪는 경우가 많다.
KISA는 정보통신망과 정보통신 서비스 제공자로 한정된 현행 침해사고 신고 의무 대상 등을 재검토할 필요가 있다는 입장이다. 또 호스팅 사업자 등 침해사고 발생 시 다수의 피해자가 발생할 수 있는 집적정보통신시설에 대한 보호조치 의무화를 강화해야 한다고 주장했다.
백 원장은 "정보보호관리체계(ISMS)는 전반적인 보안 수준을 일정 수준 이상으로 하기 위해 도입한 것이지 그 자체로 보안의 완성을 의미하는 것은 아니다"라며 "인증 취득 과정에서 부담을 덜어주는 여러 방안을 검토하고 있지만, 각 산업 영역마다 서로 조율하면서 개선해 나가려는 노력이 필요하다"라고 말했다.
그는 또 "4차 산업혁명 시대를 맞아 신기술·서비스에 대한 국민적 보안 요구가 크며, KISA는 기관의 인적·조직적 역량의 70%를 정보보호에 투입 중이지만, 한국인터넷정보보호원처럼 기관 본연의 목적과 역할에 부합하는 방향으로 변경되는 것이 필요하다"라고 말했다.
한편, KISA는 최근 광주전남공동혁신도시(빛가람혁신도시)에 위치한 나주 신청사로 본원 이전을 마치고 3일부터 공식 업무에 들어갔다. KISA는 전남 나주 본원과 서울 청사, 판교 정보보호클러스터 등 3원 체제로 운영된다.