▲SK텔레콤 유심정보 해킹 사고 이후 정부 차원의 개인정보보호 체계 강화 요구가 커지고 있다.
SK텔레콤 유심(USIM·가입자식별모듈)정보 해킹 사고 이후 정부 차원의 개인정보보호 체계 강화 요구가 커지고 있지만, 대통령 선거 출마 후보들의 공약에선 관련 정책 방향이 보이지 않는 모습이다.
해킹 수법이 나날이 고도화하고 있는 만큼 국가 안보 차원에서 접근해 대응력 강화 방안을 모색해야 한다는 지적이 제기된다.
사이버 보안 정책은 김문수 유일…李 “AI 데이터·정보보호 균형 지켜야"
▲지난 23일 서울역 대합실 TV로 제21대 대통령선거 2차 후보자 토론회가 생중계 되고 있다.
24일 중앙선거관리위원회 정책공약마당에 공개된 주요 정당 대선 후보들의 공약집을 분석한 결과, 김문수 국민의힘 후보를 제외하곤 사이버 보안이나 개인정보 보호 강화 방안에 대한 구체적인 정책을 내놓지 않았다.
김 후보는 '북핵을 이기는 힘, 튼튼한 국가안보' 공약에 △화이트 해커 1만명 양성을 통한 사이버전 역량 강화 △국가사이버안보법 제정을 통한 범국가적 사이버 안보 컨트롤타워 구축 △AI·빅데이터 기반 지능형 사이버 방첩 시스템 구축 등을 제시했다.
이재명 더불어민주당 후보의 경우, 관련 분야 정책 방향을 간접적으로 제시한 바 있다. 개인정보 보호와 인공지능(AI) 데이터 활용의 균형을 맞추는 게 골자다. AI 기술에 활용되는 데이터를 최대한 발굴하되, 개인정보 요소를 최대한 제거해 순도 높은 데이터를 만들어내야 한다는 것이다. 이를 뒷받침하기 위해선 개인정보 보호 방안을 최대한 확보하는 작업이 수반돼야 한다는 취지다.
이준석 개혁신당 후보는 최근 퇴직 경찰의 전문성을 활용한 '공인 탐정 제도'를 15호 공약으로 발표했다. 무자격 정보업체의 불법 행위로 인해 국민들의 개인정보가 침해 피해를 막고, 정당한 정보 조사 수요를 제도권 내로 흡수하기 위한 조치다.
정보통신기반시설 지정 범위·절차 미흡…인증제도 실효성 의문도
▲SKT의 유심 무상교체 서비스가 시작된 지난달 28일 오전 서울 강서구 김포국제공항 내부에 설치된 티(T)월드 매장 앞에 유심을 교체하러 온 시민들이 줄지어 서 있다. 사진=이태민 기자
전문가들은 이번 사고를 계기로 기업뿐 아니라 정부 또한 보안 위협에 대한 대응 체계 전반을 재정비할 필요성이 있다고 강조한다. 해킹이 통신망 장악이나 마비로 이어질 경우, 개인정보 유출을 넘어 국가적 사이버 안보 위협으로 확산할 수 있기 때문이다.
특히 이번에 해킹된 SKT의 홈 가입자 서버(HSS)가 주요 정보통신기반시설로 지정되지 않았다는 점에서 지정 범위 및 절차 개선이 필요하다는 지적이 적잖다.
현행 제도는 통신사가 지정대상을 자율 선정하고, 정부가 이를 사후 검토하는 방식이다. 그러나 HSS 서버의 경우 보안 침해 시 국가 통신 기반에 광범위한 혼란을 초래할 수 있음에도 불구하고 주요 정보통신기반시설에서 제외돼 있었다. 관리 기관이 선정한 세부 시설 범위에 대한 정부의 타당성 검토나 조정 조치가 제대로 수행되지 못했음을 보여준다는 지적이다.
이와 함께 정보보호 인증제도 강화 필요성도 제기된다. 통신 3사 모두 정보보호 및 개인정보 관리체계(ISMS-P) 인증을 받았으나, 고도화된 해킹 수법에 속수무책으로 당했다는 점에서 실효성에 의문이 제기된다.
이에 따라 중대한 위법 행위가 발생한 경우 관련 인증을 취소할 수 있도록 법적 근거를 마련해야 한다는 제안이다. 현재 개인정보보호법에는 해당 조항이 존재하지만, 정보통신망법에는 빠져 있어 법적 사각지대가 발생하고 있다는 설명이다. 통신사와 같은 고위험 산업군에 대해선 정부의 주요 정보통신기반시설 지정 타당성 검토와 전문가 협의회 심의를 의무화해야 한다는 주장이 나온다.
강은수 국회입법조사처 입법조사관은 “고위험 산업군인 통신사에 대해선 더욱 엄격한 인증 기준을 적용할 수 있도록 정보통신망법 개정이 필요하다"며 “ISMS-P 인증을 받지 않은 기업에 대한 과징금 부과 근거를 마련하는 등 제재를 실질화하는 방안을 모색해야 한다"고 했다.
통합 사이버 보안법 제정 필요성…사이버 공격 대응 체계 강화해야
▲해커가 사이버 공격을 감행해 국가 보안 체계를 뚫는 모습을 챗GPT로 형상화한 모습.
사이버 안보법 제정과 함께 통합 조직을 출범시켜야 한다는 목소리도 나온다. 우리나라의 경우 관련 규정이 여러 법률에 흩어져 있어 책임의 한계가 명확하지 않다는 지적이다. 민·관 역할 분담이 모호해 유사 사고가 발생했을 때 신속하고 일관된 대응이 어렵다는 것이다.
현재 사이버 보안 및 개인정보 관리 조직은 △국가정보원 △방송통신위원회 △개인정보보호위원회 △한국인터넷진흥원(KISA) △국가정보자원관리원 등이 있다. 공공 부문에서는 국정원이 행정안전부 등을 대상으로 사이버안보를 일부 담당하고, 민간 부문은 과학기술정보통신부가 감독한다. 사이버 범죄에 대해서는 경찰청이 대응한다.
그러나 기관별로 역할 수행에 대한 법적 근거가 명확히 규정되지 않은 채 대통령훈령인 '국가사이버안전관리규정'에 의존하고 있어 부처 기관의 법적 강제력이 약하다는 한계가 있다. 특히 민간 분야에 대한 법적 구속력이 미흡해 이번 사고와 같은 일이 벌어졌을 때 대응 체계를 신속하게 마련할 수 없다는 지적이다.
법령의 경우 △전자정부법 △개인정보보호법 △정보통신기반 보호법 △정보통신망법 등으로 분산돼 있다. 이는 사고 발생 후 법 적용 우선순위를 판단하기 어렵고, 중복 적용으로 인한 이중처벌 우려도 없지 않다.
이에 따라 공공·민간 영역을 아우르는 거버넌스 체계 구축과 컨트롤타워 역할을 수행할 전담 부처 신설을 통해 사이버 위기 대응 체계를 통합·강화할 필요성이 제기된다.
엄준현 대외경제정책연구원 전문연구원은 “미국·유럽연합(EU)·일본 등 이미 사이버안보 통합 법률을 제정한 주요 국가들의 사례를 벤치마킹할 필요가 있다"며 “통합된 사이버 안보법을 제정한다면 공공·민간을 구분하지 않은 사이버 위협에 대한 일원화되고 체계적인 예방·대응이 가능할 것"이라고 언급했다.
![[36th, 에너지가 미래다] “제로에너지건축은 국가 에너지 전략 전환점”](http://www.ekn.kr/mnt/thum/202505/news-p.v1.20250519.b680e1d7929f43dfbfe6ee41f7380ca5_T1.png)
;){kind=link}