KISA, 해킹 발생시 기업 책임 강화…"자료 보존ㆍ제출 의무 생겨"

입력 2023-02-26 12:00

  • 작게보기

  • 기본크기

  • 크게보기

▲박용규 한국인터넷진흥원 침해사고분석단 단장. (사진제공=KISA)

지난해 12월 정보통신망법이 개정되면서 올해부터 해킹, 컴퓨터 바이러스 등 침해사고 발생시 기업의 책임성이 강화됐다.

26일 박용규 한국인터넷진흥원(KISA) 침해사고분석단 단장은 “법 개정으로 침해사고 피해 기업들에 보다 적극적인 자료 보존과 자료 제출 의무가 생겼다”고 밝혔다.

박 단장은 “법 개정은 크게 세 가지로 피해확산 조치 요건을 구체화했고, 조치 권한을 명문화, 자료 보전 및 제출 권한을 명문화 했다는 것이다”고 설명했다.

정보통신망법 개정 전에는 기업이 기술지원에 동의하지 않으면 자체 조치 등 적절하게 대응했는지 확인할 방법이 없었다. 개정안은 침해사고 발생 기업이 수행해야 하는 피해확산 조치를 사고대응, 복구 및 재발 방지로 구체화했다. 또 과학기술정보통신부장관이 사고의 원인을 분석하고 피해 확산 방지, 사고 대응, 복구 및 재발 방지를 위한 대책을 마련해 해당 정보통신서비스 제공자에게 필요한 조치를 하도록 권고할 수 있도록 했다.

박 단장은 “기존에는 사업자가 사고 원인 분석, 피해 확산 방지 등 일을 해야 되는지에 대해 요구하지 않았는데 이제는 그런 것들을 요구할 수 있는 근거가 마련됐다”고 설명했다. 그는 “최근 사고 같은 경우에도 원인 분석을 통해 어떤 결과가 나오면 여러 대응을 위한 권고를 하게 된다”고 덧붙였다.

개정안은 중대 침해사고에 대한 민관합동조사단의 목적도 구체화했다. 사고 기업에 대한 자료보전, 자료제출 요구 권한 등도 명문화했다. 중대한 침해사고의 경우 소속 공무원이 참여하는 내용을 법에 담았다.

박 단장은 “전에는 중대 침해 사고가 아닌 일반적인 사고인 경우에는 자료 보존과 제출을 요구할 근거가 없었다”며 “모든 사고에 대해 자료 보존 등을 명령할 수 있도록 개정됐다”고 밝혔다. 또 “우리가 조사를 위해 현장에 나가는 것이 법에 의해 적법하게 진행하고 있다는 것을 명시했다”고 설명했다.

특히 개정안은 자료 제출 거부, 거짓 제출에 대한 과태료도 신설했다. 박 단장은 “이제부터는 발생된 사고의 원인을 반드시 대응해야 하는 의무가 생겼기 때문에 지켜야 하도록 상황이 변화됐고, 조사단이 사고에 대해 적극적으로 개입할 수 있는 근거가 마련됐다”고 말했다.

다만 과태료 등 부과에 대해 “전체적인 보안 수준을 끌어올리도록 해주는 것이 목적이지 피해 기업을 행정 처분하기 위한 것이 아니다”라며 “적극적으로 드러내서 빨리 대처하고 더 안전한 기업 환경으로 만들자는 것이 법의 취지”라고 강조했다.

사고대응은 △사고인지 △사고검토 △사고분석 △후속조치 등 4단계로 이뤄진다. 법 개정으로 사고인지 단계에서는 피해확산 방지를 위한 기업의 적극적인 동참을 기대할 수 있게 됐다. 또 사고 검토 단계에서는 일반 사고에 대해서도 자료 보전 요구와 정보 수집이 가능해졌다. 사고분석 단계에서는 기업 자체 조사 건에 대한 정보 수집이 확대됐고, 후속 조치 단계에서도 피해확산 방지가 강화됐다.

박 단장은 “전에는 굉장히 위험한 상황이 유지되는 사례가 생길 수 있었는데 이제는 우리가 직접 조사를 진행하지 못한 사고가 설사 있더라도 자료 조번 명령을 통해 필요한 정보를 수집하고, 공유해 더 적극적인 대응이 되도록 환경이 강화됐다”고 말했다.

  • 좋아요0
  • 화나요0
  • 슬퍼요0
  • 추가취재 원해요0
주요뉴스
댓글
0 / 300
e스튜디오
많이 본 뉴스
뉴스발전소