| 한스경제=박정현 기자 | 과학기술정보방송통신위원회는 21일 열린 국정감사에서 지난 4월부터 이어진 대규모 해킹 사고를 두고 소관 기관의 보안 관리 역량과 제도의 허점을 집중 추궁했다.

이날 최수진 국민의힘 의원은 “과기정통부는 과학기술·디지털·통신을 총괄하는 컨트롤타워로서 사이버보안과 인프라 안전을 책임지는 부처”라며 “기업의 보안 관리 부실도 문제지만 과기정통부 역시 디지털 보안 대응에서 취약점을 드러내고 있다”고 지적했다.

앞서 과기정통부와 한국인터넷진흥원(KISA)은 4월 부터 이어진 기업들의 해킹 사고와 관련해 초기 대응이 늦고, 피해 규모 집계 과정에서 입장을 번복해 신뢰성 논란을 빚은 바 있다.

조인철 더불어민주당 의원은 “침해사고 신고가 있어야만 조사가 이뤄지는 구조가 문제”라며 “신고를 의무화하거나 강제할 제도 개선이 필요하다”고 지적했다.

류제명 과학기술정보통신부 제2차관은 “기업이 자발적으로 신고하지 않으면 조사가 어렵다”며 “탐지 활동으로 해킹 정황을 포착하더라도 조사 권한에는 한계가 있다”고 밝혔다.

이훈기 더불어민주당 의원은 낮은 과태료가 기업의 늦장 대응으로 이어진다고 비판했다.

이 의원은 “법정 신고 기한은 24시간이지만 SKT는 45시간, KT는 3일이 지나서야 신고했다”며 “SKT의 과태료는 과기정통부 750만원, 개인정보보호위원회 960만원에 불과하다. 이런 솜방망이 처벌이 신고 지연을 낳고 있다”고 지적했다.

류 차관은 “과태료 인상 법안이 제안돼 있으며 기업이 신고하지 않아도 신속히 대응할 수 있는 방안을 마련 중”이라고 답했다.

제도적 한계 속에서 정부의 자료 제출 요구 이후 이통 3사가 서버를 폐기하거나 지운 정황도 확인됐다.

SKT는 4월 21일 자료보존 명령을 받은 당일 서버 임의조치를 했고 KT는 7월 19일 사실 확인 요청 이후 8월 1~13일 서버를 폐기했다. LG유플러스 역시 8월 11일 자료 제출 요구 직후 서버를 업데이트한 것으로 나타났다.

이 의원은 “이런 행위는 사실상 은폐를 위한 조작적 범죄에 해당한다”며 “통신사들이 사고 후 늦게 신고하고, 과징금 수준만 감안해 자료를 지우는 등 대응하고 있다. 자료제출 요구를 받은 뒤 서버를 폐기하거나 흔적을 지우는 행위를 막을 대책이 있느냐”고 따졌다.

이상중 KISA 원장은 “사이버증거가 휘발성이 강한데 인위적으로 폐기하는 것은 상당히 고의성이 있다고 생각된다”며 “다만 신고가 들어와야 서버를 확보할 수 있고, 신고가 들어와도 동의절차가 필요하다”고 해명했다.

류 차관은 “연이어 해킹 사고가 일어나는 부분에 대해서 송구스럽게 생각한다”고 말했다.

박정현 기자 awldp219@sporbiz.co.kr