입법조사처 “많은 문제점·입법 사항 발견” [SKT 유심 해킹]

국회입법조사처(처장 이관후)가 SK텔레콤(대표 유영상) 고객 유심 유출 사고 과정에서 많은 문제점을 발견했다고 밝혔다. 또 입법 필요사항도 다수 파악했다고 덧붙였다. 

입법조사처는 7일 통신사 해킹 사고 사후대응의 문제점과 입법과제를 다룬 '이슈와 논점' 보고서를 발간했다. 해당 보고서는 4월 18일 SK텔레콤 해킹 사고를 계기로 대규모 통신 해킹에 대한 정부와 기업의 사후 대응을 개선하는 국회의 시급한 입법 과제를 제시했다.

보고서는 이동통신망 핵심부가 해킹될 경우 사회 전반에 심대한 영향을 끼치고 국가 안보에 중대한 위협으로 작용할 수 있다며 구조적 대응이 필요하다고 강조했다.

입법조사처는 "4월 30일 국회 청문회에서는 이번 SKT 해킹 피해 사태에서 기업이 소극적으로 사고를 처리하고 정부가 신속하게 대응하지 못한 점이 지적됐다. 이번 사건을 계기로 기업의 자율적인 대처와 정부의 대응 체계의 한계가 발견됐다"며 "통신사 해킹 사고 사후 대응이 추가 피해를 예방하고 피해자를 보호하는 방향으로 보다 견고하게 이루어질 수 있도록 관련 법률을 개정할 필요가 있다"고 촉구했다.

입법조사처는 첫째 신속한 대응이 필요할 경우 유출 대상자가 명확히 특정되지 않더라도 기업이 모든 가입자 또는 유출 의심자 전체에게 위험 상황과 대응 방법을 개별 통지하도록 '개인정보 보호법'을 개정해야 한다고 봤다.

 SK텔레콤은 사고 초기에 자사 홈페이지를 통해서만 유출 사실을 알리다가 4월 23일이 돼서야 유심 보호 서비스 가입에 대한 전체 안내 문자 발송을 시작해 논란을 야기했다.

둘째 해킹 사고에 광범위하거나 중대한 위험을 발생시킬 수 있다고 판단되는 경우 재난경보체계를 활용할 수 있도록 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) 또는 방송통신발전 기본법을 개정해야 한다고 강조했다.

2022년에 발생한 카카오 서비스 장기간 중단 사태에는 정부가 재난 및 안전관리 기본법에 근거해 세 차례 재난문자를 발송했으나 이번 SK텔레콤 해킹 사건에서는 이와 같은 조치가 없었다.

입법조사처는 "필요한 경우 재난경보체계를 활용할 수 있도록 정보통신망법에 근거 규정을 두거나 정보통신망법상 침해사고를 방송통신발전 기본법상 방송통신재난으로 분류하는 방안을 검토할 수 있다"고 조언했다.

셋째 해킹 사고에 대한 정부의 조사 권한을 강화하도록 정보통신망법을 개정해야 한다는 목소리도 제기됐다.

입법조사처는 "정부가 구성한 민관합동조사관이 해킹사고 관련 자료 제출을 요구하고 조사할 수 있으나 이에 대한 강제력이 부족하다"며 "소극적 대응이나 사고 은폐를 방지하고 실효성 있는 조치를 유도하기 위해서는 정보통신망법상 과태료를 상향하거나 이행강제금을 부과하는 등 최소한의 조사 강제력을 강화하도록 정보통신망법을 개정할 필요가 있다"고 밝혔다.

넷째 기업이 피해자에 대한 실질적 구제 조치를 취하고 피해자가 보상을 용이하게 받을 수 있도록 전기통신사업법, 정보통신망법, 개인정보보호법을 개정해야 한다고 했다.

입법조사처는 "이동통신사 해킹 사고 시 사업자가 유심 무상 교체 등의 피해자 보호 조치 방안을 취하도록 전기통신사업법이나 정보통신망법을 개정할 수 있다"며 "피해자가 개인정보 유출과 피해 간 인과관계를 입증하기 어려울 수 있으므로 개인정보 보호법에 인과관계를 추정하는 규정을 두는 방안을 검토해야 한다"고 했다.

김광연 기자
fun3503@chosunbiz.com