지난 6일 열린 국무회의에서 이 같은 내용을 골자로 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률 일부개정법률안’이 의결됐다.
기존 정보통신망법은 침해사고 발생 시 과학기술정보통신부가 마련한 사고대응, 복구 및 재발방지 등 대책 준수가 ‘의무’가 아닌 ‘권고’에 불과해 실효성이 떨어진다는 지적이 있었다. 침해를 당하고도 시간과 비용 등 이유로 취약점 해결에 적극적이지 않은 기업이 많지만 강제할 방법이 없었다.
개정안은 정부가 침해사고를 당한 사업자에게 사후 대책 이행을 명령할 수 있고, 나아가 사업자가 재발 방지를 위한 후속 조치를 이행하고 있는지 점검하고 필요할 경우 시정을 명할 수 있는 등 정부 차원의 사후 대책을 강화했다. 또 시정명령에 따르지 않으면 3000만원 이하 과태료를 부과하도록 해 실효성을 높였다.
과기정통부 관계자는 “앞으로 시급한 조치가 필요함에도 사업자가 비용과 인력 부담 등으로 이행하지 않는 경우 정부가 나서 명령하겠다”고 말했다.
신고제도 구체화했다. 기존 법엔 침해사고가 발생하면 ‘즉시’ 그 사실을 과기정통부나 한국인터넷진흥원(KISA)에 신고하도록 명시했는데, 즉시라는 시기가 모호하고 구체적인 기간이 명시적으로 규정하지 않아 신고가 지연되는 경향이 있었다.
과기정통부는 개정법에 따라 구체적인 신고 시기, 방법 및 절차와 함께 이행여부를 확인하는 점검 방안과 절차 등에 관한 시행령 마련에 착수했다.
다만, 한 사업자의 침해사고 분석 과정에서 발견한 취약점이 다른 사업자에는 여전히 사이버 위협으로 남는다는 점은 문제로 지적된다. 같은 취약점이 있지만 침해를 당하지 않은 다른 사업자에 대한 정부 권한은 여전히 취약점 보안패치 업데이트 권고에 그치기 때문이다.
실제 알려진 오래된 취약점은 해커의 유용한 공격 수단이다. KISA 보고서에 따르면, 지난해 초 기승을 부린 중국 해킹조직 샤오치잉은 오라클이 배포한 웹 애플리케이션 서버(WAS) 웹로직(WebLogic) 오래된 버전의 취약점을 악용해 국내 기업 3곳을 공격한 것으로 추정된다.
국내 유력 보안 컨설팅기업 대표는 “정보기술(IT) 자산이 많다 보니 구버전으로 운영하는 경우가 생각보다 많다”면서 “최신 버전이 아닌 구버전은 이미 공격코드 등이 공개돼 있어 제1 타깃”이라고 말했다.
조재학 기자 2jh@etnews.com