;)
;)
기관별 따로 대응하는 칸막이 구조…컨트롤타워 부재 지적
美·英 위협정보 실시간 공유·수조원대 과징금…韓만 솜방망이
전문가 “단순 서류 인증 벗어나 실질적 보안체계 구축해야”
美·英 위협정보 실시간 공유·수조원대 과징금…韓만 솜방망이
전문가 “단순 서류 인증 벗어나 실질적 보안체계 구축해야”
이미지 확대보기
특히 대부분의 보안 관련 규제가 강제적이지 않고 권고 수준에 머물고, 처벌 수위도 낮아 보안투자 유인도 크지 않다. 보안 투자, 전담 인력이 부족한 기업들이 늘고 있어 보안 수위도 선진국 이상으로 격상할 컨트롤타워를 개편해야 한다는 지적이다.
22일 금융권 등에 따르면 기업들의 보안 인식 개선을 유도하기 위해 제도적 정비를 포함해 대대적인 규제 강화를 요구하는 목소리가 커진다. 올해 롯데카드의 297만 명 고객 정보 유출, KT 소액결제망 해킹 등 대형 사고가 연달아 발생하면서 제도적 허점과 운영 역량 부족이 동시에 드러났다. 특히 신속한 대응이 요구되는 개인정보 유출 사건임에도 불구하고 전담 컨트롤타워가 없다는 점이 지적된다.
현행 제도상 금융사 해킹은 금융위원회·금융보안원이, 통신사·포털 등은 과기정통부·한국인터넷진흥원(KISA)이 각각 나눠 맡는다. 그러나 범부처 통합 컨트롤타워가 없어 초기 대응이 늦어지고 기관별 설명도 따로 진행되는 등 혼선이 반복되고 있다. 외국처럼 국가 차원의 단일 대응체계가 없는 점이 구조적 한계로 꼽힌다.
인증제도에 대한 의존도도 높다. 국내 금융사 대부분이 ISMS-P·ISO27001·PCI DSS 등 보안 3대 인증을 보유하고 있지만 실제 사고를 막지 못했다. 롯데카드 역시 이들 인증을 모두 갖췄음에도 오래된 서버 취약점 패치를 누락해 대규모 침해를 허용했다. ‘서류상 보안’만으로는 실질적 위험 대응이 어렵다는 점이 확인된 셈이다.
제재 수위도 가볍다. 현행 정보통신망법에 따른 과태료는 최대 3000만 원에 불과해 기업이 사고를 늦게 신고하거나 피해 규모를 축소할 유인이 크다는 비판이 끊이지 않는다. 실제로 과기정통부 조사에선 침해 사고 신고율이 20% 수준에 불과한 것으로 나타났다.
주요국의 경우 보안을 곧 안보로 인식하고 처벌 수위도 무겁게 다룬다. 미국은 사이버보안청(CISA)이 FBI·NSA와 함께 민관·우방국까지 위협 정보를 실시간 공유하고, 메타에는 개인정보 유출로 50억 달러(약 6조 원)의 과징금을 부과했다. 영국도 국가사이버보안센터(NCSC)를 운영하며 개인정보 유출 기업에 징벌적 배상을 부과한다.
전문가들은 한국도 범부처 차원의 통합 컨트롤타워를 세우고, 24시간 보안관제(SOC), 수시 모의해킹·취약점 점검, 2~3일 내 패치 체계 등을 의무화해야 한다고 지적한다. 또 모든 결제 서버에 로그감사와 접근통제를 적용하고, 사고 발생 시 72시간 내 원인·피해를 공개하도록 강제하는 방안도 거론된다.
보안업계 한 관계자는 “보안을 단순 비용이 아니라 기업 신뢰의 기반으로 인식해야 한다”면서 “서류상 인증 체계에서 벗어나 운영 중심, 실질적 보안체계로 전환이 요구된다”고 말했다.
홍석경 글로벌이코노믹 기자 hong@g-enews.com
