이해민 의원실, 고의적 해킹 은폐 구조 개선 토론회
"해킹 숨기면 과태료, 공개하면 기업 위기 오는 상황"
"침해 사고 은폐를 억제할 수 있는 제재 수준 갖춰야"
"최고책임자 관심 절실…자료 보존 기업 인센티브도"
![[사진=뉴시스] 박은비 기자 = 19일 이해민 조국혁신당 의원실이 주최한 '해킹 은폐 제로 : 고의적 해킹 은폐 구조 개선 토론회' 참석자들이 기념 촬영하고 있다. 2026.03.19. silverline@newsis.com *재판매 및 DB 금지](https://img1.newsis.com/2026/03/19/NISI20260319_0002088127_web.jpg?rnd=20260319134217)
[사진=뉴시스] 박은비 기자 = 19일 이해민 조국혁신당 의원실이 주최한 '해킹 은폐 제로 : 고의적 해킹 은폐 구조 개선 토론회' 참석자들이 기념 촬영하고 있다. 2026.03.19. [email protected] *재판매 및 DB 금지
[서울=뉴시스]박은비 기자 = "유럽연합 회원국들이 자국 법령에 반영해야 하는 NIS2 지침을 보면 보안 침해 사고를 거짓으로 보고하거나 정보를 고의적으로 누락시키는 행위는 모두 해킹 사건을 보고하지 않은 것과 같이 취급해 강력하게 처벌합니다. 현재 정보통신망법에는 이런 경우에 대한 처벌 조항이 없죠. 향후 처벌 조항을 개정할 때 NIS2 수준, 필요하다면 그 이상의 강력한 처벌이 가능하도록 개선할 필요가 있습니다."
독일 보안기업 GSMK 소속 박신조 박사는 19일 이해민 조국혁신당 의원실이 주최한 '해킹 은폐 제로 : 고의적 해킹 은폐 구조 개선 토론회' 발제자로 이같이 발표했다.
박 박사가 이런 문제의식을 체감한 건 지난해 LG유플러스가 해킹 사실이 은폐되도록 서버 내용을 고의로 삭제하는 식으로 조사를 방해하고, 알리익스프레스가 판매자 계정 해킹 사건에 대해 진행 중인 수사에 대해 허위 보고한 문제 등을 지켜보고 난 뒤다.
그는 "서버를 폐기하고 자료를 다 삭제하는 방법으로 모든 문제가 해결됐다고 볼 수는 없다"며 "오히려 문제를 찾을 가능성을 줄이고 미래의 해킹 피해 가능성을 높이는 일이 된다"고 우려했다.
이와 관련 독일 기업들이 처벌 조항이 강력한 NIS2에 대비해 사이버 보험에 가입하는 사실에 대해 언급했다. 박 박사는 "2024년 조사에 의하면 독일 중소기업의 25%는 사이버 보험에 가입돼 있다"며 "보통의 사이버보험은 가입을 위해 안티바이러스 및 방화벽 최신 상태 유지, 데이터 백업, 암호 관리 정책 수립 등 외에도 법적인 보안 규제 준수를 조건으로 제시하고 있다"고 설명했다.
사이버 보험이 요구하는 일정 수준의 보안 조건이 확보돼야 가입할 수 있기 때문에 어느 정도 기업 보안을 보장하는 효과도 있다. 박 박사는 "사이버 보험은 중소기업의 보안 수준 향상에 정부 규제와 더불어 민간 차원에서의 인센티브가 될 수도 있다. 독일에서는 사이버 보험료에 대한 세액 공제가 가능하며, 한국에서도 비슷한 법령이 제안된 적 있다"고 소개했다.
![[사진=뉴시스] 박은비 기자 = 독일 보안기업 GSMK 소속 박신조 박사가 19일 이해민 조국혁신당 의원실이 주최한 '해킹 은폐 제로 : 고의적 해킹 은폐 구조 개선 토론회'에서 영상으로 발표하고 있다. 2026.03.19. silverline@newsis.com *재판매 및 DB 금지](https://img1.newsis.com/2026/03/19/NISI20260319_0002088140_web.jpg?rnd=20260319134743)
[사진=뉴시스] 박은비 기자 = 독일 보안기업 GSMK 소속 박신조 박사가 19일 이해민 조국혁신당 의원실이 주최한 '해킹 은폐 제로 : 고의적 해킹 은폐 구조 개선 토론회'에서 영상으로 발표하고 있다. 2026.03.19. [email protected] *재판매 및 DB 금지
최현우 성신여대 융합보안공학과 교수도 "현재 우리나라 제도에서는 결국 숨기면 과태료, 공개하면 기업 위기가 오는 상황"이라며 "이런 제재 수준이 침해 사고 은폐를 실질적으로 억제할 수 있는지 검토가 필요하다"고 했다.
또 다른 발제자인 최경진 가천대 법학과 교수는 "여러 법이 만들어지는 과정을 보면 행위자인 업무 담당자만 처벌하는 형태였다"며 "조직 입장에서는 그 사람 처벌로 끝나는데 이런 구조를 탈피해야 하지 않을까 한다. 구조적으로 증거 보존이 잘 되게 하는 게 핵심"이라고 주장했다.
그러면서 "결과적으로는 기업 최고책임자가 관심을 갖고, 특히 이사회에서 관심을 가지지 않으면 어려운 문제"라며 "만약 법제 개선이 이뤄진다면 이런 부분이 반영돼야 하지 않을까 한다. 또 자료 보존 기업에게는 인센티브를 주는 제도가 마련되면 좋을 것"이라고 강조했다.
이와 함께 "법에 일일이 세세하게 담을 수는 없어서 중요한 게 정부 역할"이라며 "회복력 확보를 위한 입법적 노력이 성공을 거둔다면 결국 정부와 민간이 같이 마련해야 할 적절한 가이드라인, 즉 투명성과 안정성 확보를 위한 조치도 이뤄져야 한다"고 덧붙였다.
임정규 과기정통부 정보보호네트워크정책관(국장)은 "사실 지난해 많은 사고들 때문에 지난주 목요일 정보통신망법 개정안이 통과됐는데, 정부에서 공포를 해야 내용이 알려져서 아직 잘 모르고 있다"며 "정보보호 최고책임자(CISO) 권한 강화, 정보보호 관리체계(ISMS)도 대폭 강화된 기준이 담겼다. 신고 없이도 침해 조사가 가능해진다"고 설명했다.
그러면서 "자료 보존 미이행, 삭제시 벌칙도 5년 이하의 징역 등 대폭 강화했다"며 "혹시 자료를 제출하지 않으면 이행할 때까지 이행강제금을 부과하는 경우도 생겼고, 반복적 사고에 대해서는 과징금이 매출액의 3%에 해당하는 상황"이라고 언급했다.
한편 한석현 서울 YMCA 실장은 최근 가입자 식별번호(IMSI)에 전화번호를 넣어서 설계한 사실이 알려진 LG유플러스에 대해 지적했다. 한 실장은 "이번 일이 법적 문제가 없다고 문제가 없는 게 맞냐"며 "다음달 유심 교체 전까지 신규 가입자는 보안에 취약한 유심을 사용해야 하는데, 신규 가입을 중단해야 한다"고 주장했다.
그러면서 "과기정통부와 한국인터넷진흥원(KISA)이 (LG유플러스가) IMSI에 전화번호를 넣어서 설계한 걸 몰랐는지, 그렇게 써도 괜찮다고 그냥 둔 건지 궁금하다"며 "주무부처에서 앞으로도 사태가 터졌을 때 신고만 접수하고 처분을 내리는 역할만 할 것인가"라고 목소리를 높였다.
이에 대해 임 국장은 "바로 위치 추적이 되거나 개인정보가 유출되고 이런 게 아니다"라며 "정부로서는 최대한 그 문제를 해결하려고 지금 노력하고 있다는 것까지만 말씀드리겠다"고 말했다.
◎공감언론 뉴시스 [email protected]
