침해사고 신고 의무 도입 1년…늑장·미신고 여전, 제재 실효성 논란

【서울 = 서울뉴스통신】 최정인 기자 = 사이버 침해사고 발생 후 24시간 이내 신고가 의무화된 지 1년이 지났지만, 기업들의 늑장 신고와 미신고 관행이 여전히 이어지고 있다.

국회 과학기술정보방송통신위원회 소속 이해민 조국혁신당 의원이 19일 한국인터넷진흥원(KISA)으로부터 제출받은 자료에 따르면, 지난해 8월부터 최근까지 총 66건의 신고 지연 및 미신고 사례가 발생했다.

일부 기업은 사고를 인지한 뒤 수개월, 심지어 1년이 지나서야 신고하기도 했다. 현행 과태료가 최대 3000만원에 불과해 기업들의 신고 회피를 부추긴다는 비판이 나온다.

또 최근 5년간 침해사고 신고 건수는 증가했지만 KISA의 기술지원 요청 비율은 절반에도 미치지 못했다. 지난해 침해사고를 신고한 1532개 기업 가운데 834곳(54.4%)만 기술지원을 요청했으며, 올해 상반기에는 777곳 중 324곳(41.7%)으로 더 줄었다.

기업이 협조하지 않으면 KISA는 자료 제출 요구 외에는 현장 조사나 서버 점검 권한이 없어 대응에 한계가 드러난다. 지난 6월 발생한 예스24 해킹 사고 때도 KISA 분석가들이 두 차례 본사 방문을 시도했지만 협조를 받지 못하다가, 이틀 뒤 기업 요청으로 현장 점검이 이뤄졌다.

이 의원은 “24시간 내 신고 의무화는 피해 확산을 막기 위한 최소 장치인데도 신고 지연이 반복되고 있다”며 “기업들이 자체 해결을 이유로 기술지원을 회피하는 상황에서 현행 제도가 얼마나 실효성을 갖는지 점검해야 한다”고 지적했다.

이어 “현행법상 기술지원 거부 시 자료 제출 의무만 규정돼 있어 KISA의 현장 출입·조사 권한이 부족하다”며 “신속한 대응을 위해 법적 근거를 강화하는 입법 보완이 필요하다”고 강조했다.