2025.06.17 화요일
검색
'정보통신망 이용촉진 및 정보보호 등에 관한 법률' 검색결과
기간검색
-
~
검색영역
검색어
-
국회, 이통사 해킹 반복에 "정보보호 예산 의무화" 칼 빼나 [이코노믹데일리] 이동통신사의 반복되는 해킹 사고를 막기 위해 정보보호 예산을 관련 예산의 일정 비율 이상으로 의무화해야 한다는 지적이 국회에서 나왔다. 국회 입법조사처는 21일 이같은 내용을 담은 '이동통신사 해킹 사전 예방을 위한 정보보호 강화 방안' 보고서를 발간했다. 2012년과 2014년 KT, 2023년 LG유플러스에 이어 올 4월 SK텔레콤까지 해킹 사고가 끊이지 않자 특단의 대책 마련을 촉구한 것이다. 입법조사처는 보고서에서 "이통통신사 해킹이 일시적인 사고가 아닌 구조적 문제임을 시사한다"고 지적하며 유사 사고 재발 방지를 위해 정보보호 투자의 '최소 투자 비율' 명시를 제안했다. 특정 국가나 조직이 통신사의 핵심 시스템을 해킹해 통신망을 장악하거나 마비시킬 경우 대규모 개인정보 유출을 넘어 국가적 사이버 안보 위협으로 확산될 수 있다는 우려에서다. 기업들의 소극적인 정보보호 투자가 주요 원인으로 꼽혔다. 지난해 기준 SK텔레콤의 정보보호 투자 금액은 600억원으로 KT(1218억원)의 절반에 미치지 못하고 LG유플러스(632억원)보다도 적었다. SK텔레콤의 정보기술 투자 대비 정보보호 투자금액 비율 역시 4.1%로 KT 6.4%, LG유플러스 6.6%에 비해 낮은 수준이다. 이는 금융위원회가 '전자금융감독규정'에서 금융회사의 정보보호 예산 최소 투자 비율 의무를 삭제하며 자율에 맡긴 것과 달리 통신 분야에서는 자율보안의 한계가 드러났다는 판단에 따른 것이다. 이에 입법조사처는 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'을 개정해 정보보호 예산이 정보기술부문 예산의 일정 비율 이상이 되도록 의무를 명시하는 방안을 제시했다. 또한 정보보호 인증제도 개선도 촉구했다. 이통3사 모두 정부의 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 받았음에도 해킹 공격에 취약점을 드러냈고 이후 인증이 취소되지도 않아 제도 실효성에 의문이 제기됐기 때문이다. 정보통신망법을 개정해 이동통신 등 보안 관련 고위험 산업군에 강화된 인증 기준을 적용하고 중대한 법령 위반 시 인증 취소 근거와 과징금 부과 근거를 마련해야 한다고 강조했다. 매년 1회 이상 실시하는 인증기관의 사후심사 시 현장심사 강화 필요성도 언급됐다. 더불어 이번 SK텔레콤 해킹에서 문제가 된 홈가입자서버(HSS)가 주요정보통신기반시설에서 제외된 점을 고려해 지정 범위를 확대하는 방안도 검토해야 한다고 밝혔다. 이동통신 등 고위험 산업군의 경우 '정보통신기반 보호법 시행령' 개정을 통해 관계 전문가로 구성된 협의회 심의를 의무화하는 방향도 제시됐다.2025-05-21 18:13:36
-
SKT 유심 유출, 재난문자 왜 없었나… "입법 미비 탓" [이코노믹데일리] 지난 2022년 카카오 서비스 먹통 사태 당시에는 정부가 수차례 재난안전문자를 발송했지만 최근 발생한 SK텔레콤 유심 정보 유출 사고에서는 관련 안내가 없었던 배경에 '입법 미비'가 있다는 국회입법조사처의 분석이 나왔다. 정보통신망 해킹 사고 발생 시 국민에게 직접 위험을 알릴 수 있는 명확한 법적 근거가 부족해 피해 예방 기회를 놓칠 수 있다는 지적이다. 국회입법조사처는 7일 발간한 '통신사 해킹 사고 사후대응의 문제점과 입법 과제 : SK텔레콤 해킹 피해 사태를 중심으로' 보고서에서 이같이 밝혔다. 현행 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)은 침해사고 발생 시 과학기술정보통신부 장관이 관련 경보를 발령하도록 규정하고 있다. 하지만 입법조사처는 "이는 사업자 및 관계 기관에 대한 경보에 그칠 수 있고 국민에게 직접적으로 위험성을 전달하는 경보 체계를 갖추고 있지는 않다"며 "해킹 사고에서 정부의 경보 체계가 부재한 것은 국민의 경각심을 떨어뜨리고 피해 예방 기회를 놓치게 하므로 개선이 필요하다"고 평가했다. 카카오 사태 때는 데이터센터 화재로 인한 서비스 중단이 재난 및 안전관리 기본법(재난안전법)상 사회재난으로 분류돼 재난문자 발송이 가능했지만 이번 SK텔레콤 해킹 사고는 정보통신망 중단이 발생하지 않아 사회재난이나 방송통신발전 기본법상 방송통신재난으로 보기 어려웠다는 설명이다. 이에 입법조사처는 정보통신망법에 침해사고 발생 시 경보 대상, 내용, 방식을 구체적으로 명시하고 광범위하거나 중대한 위험 발생 가능성이 있을 경우 행정안전부 장관과 협의해 재난경보체계를 활용, 국민에게 신속히 안내할 수 있는 체계 마련을 제안했다. SK텔레콤의 부실한 초기 대응 문제도 도마 위에 올랐다. 사고 발생 후 뒤늦은 정부 신고와 고객 안내 미흡, 유심 교체 준비 부족 등으로 비판을 받은 데 대해 SK텔레콤 측도 일일 브리핑에서 일부 인정하며 개선을 약속한 바 있다. 현행 개인정보 보호법은 유출 대상자가 특정되지 않는 경우 홈페이지 게시로 개별 통지를 갈음할 수 있도록 하고 있으나 이는 정보 주체의 신속한 인지를 어렵게 한다는 지적이 제기됐다. 입법조사처는 "유출 피해자를 빠른 시일 내에 특정하지 못한다면 이는 유출 범위와 내용을 정확히 알지 못하는 것이므로 최악의 시나리오를 가정해 적극적으로 선제적 조치를 취해야 한다"며 "신속한 대응 조치가 필요한 개인정보가 유출된 경우에는 유출 피해자가 명확히 특정되지 않더라도 모든 가입자 또는 유출 의심자 전체를 대상으로 위험 상황과 대응 방법을 명확히 안내하도록 개인정보 보호법을 개정해야 한다"고 강조했다. 피해자 구제 방안 역시 시급한 과제로 지적됐다. SK텔레콤은 이용 약관에 회사의 귀책사유로 계약 해지 시 위약금을 면제할 수 있다는 조항이 있음에도, 이번 사태와 관련해서는 "법적 검토가 필요하다"며 명확한 입장을 내놓지 않고 있다. 박소영 입법조사관은 보고서에서 "통신사 해킹 사고는 신원 인증 정보가 유출되어 금융 사고로 이어질 가능성이 높다"며 "이를 막기 위해서 이동통신사는 별도의 조건 없이 유심 무상 교체, 추가 인증 서비스를 제공해야 하고 피해자가 통신사 이동을 원할 경우 위약금을 면제하는 조치를 취해야 한다"고 밝혔다. 이러한 내용을 정보통신망법이나 전기통신사업법에 명시하고 피해자가 개인정보 유출과 피해 발생 간의 인과관계를 입증하기 어려운 점을 고려해 개인정보 보호법에 '상당한 개연성이 있는 때에는 인과관계를 추정하는 규정'을 두는 방안도 검토할 필요가 있다고 덧붙였다. 아울러 기업의 소극적 대응이나 사고 은폐를 방지하고 실효성 있는 조사를 위해 정보통신망법상 과태료를 상향하거나 이행강제금을 부과하는 등 조사 강제력 강화도 제안됐다.2025-05-07 15:54:29
많이 본 뉴스
영상
Youtube 바로가기
![[기자수첩] 당국, MG손보 노조 갈등에 내몰린 계약자들...이들의 계약 유지권은 어디에](https://image.ajunews.com/content/image/2025/06/13/20250613110259382074_518_323.png)