SK텔레콤의 해킹 피해 규모가 당초 예상보다 큰 것으로 밝혀지면서 보안에 대한 국민적 관심이 높아졌지만, 6·3 대선 후보들의 공약에서 사이버보안은 존재감이 미미한 상황이다. 보안 전문가들은 “통신·전력망 등을 노린 사이버 공격이 국가 안보까지 위협할 수 있다”면서 국가 차원의 체계적인 대책 마련이 필요하다고 주장하고 있다.
22일 중앙선거관리위원회 정책공약마당에 올라온 주요 대선 후보들의 공약집에 따르면 김문수 국민의힘 후보만 10대 공약에 사이버보안 관련 내용을 담고 있다. 김 후보는 화이트 해커 1만명 양성을 통한 사이버전(戰) 역량 강화, 국가사이버안보법 제정을 통한 범국가적 사이버 안보 컨트롤타워 구축 등을 제안했다. 이마저도 ‘북핵 억제력 강화’ 공약에 포함된 이행 방안의 일부다.
SK텔레콤 유심(USIM·가입자식별장치) 정보 해킹 사고를 계기로 보안업계에서는 정부가 사이버 보안 체계 강화에 나서야 한다고 촉구하고 있다. 해킹 사고의 경우 고객 정보를 제대로 관리하지 못한 기업의 책임이 크지만, 정부도 대형 사이버 공격이 발생했을 때만 신속 조사, 대응 등을 약속하는 ‘땜질식 처방’으로 국가 보안 체계 개선에는 신경을 쓰지 않았다는 지적이 나온다.
특히 대량의 개인정보를 보유한 통신사, 포털, 전력·에너지 기업 등 국가 주요 기반 시설을 사이버 공격으로부터 보호하려면 고도화된 정보보호 제도가 필요하다는 게 전문가들의 의견이다. 참고할 만한 해외 사례로는 영국, 싱가포르 등이 있다.
영국은 통신사 등을 대상으로 한 사이버 공격에 대응하기 위해 통신사의 보안 의무를 명시한 ‘통신 보안법(Telecommunications Security Act)’을 2022년 시행했다. 통신사가 통신망에 위협이 되는 외부 위험을 감지하고 이에 따른 보안 시스템을 구축하는 등 선제적인 조치를 취할 것을 의무화하는 법이다. 위반 시 연 매출의 최대 10%에 달하는 과징금을 내야 한다. 싱가포르도 ‘국가 사이버 보안 전략’에 따라 통신망, 상수도, 전력망에 대한 보안을 대폭 강화했다.
대량의 개인정보를 보유한 기업의 경우 전체 IT 투자액 대비 정보보호 투자액 비율의 하한선을 마련해야 한다는 주장도 나왔다. 국회입법조사처는 지난 21일 발간한 ‘이동통신사 해킹 사전 예방을 위한 정보보호 강화 방안’ 보고서에서 “이동통신사의 정보보호 예산을 관련 예산의 일정 비율 이상으로 의무화해야 한다”고 했다.
입법조사처는 2012년 KT, 2023년 LG유플러스에 이어 지난 4월 SK텔레콤까지 통신사 해킹 사고가 반복되고 있다면서 “해킹이 통신망 장악이나 마비로 이어질 경우 대규모 개인정보 유출을 넘어 국가적 사이버 안보 위협으로 확산할 수 있다”고 했다. 그러면서 “정보통신망법 개정을 통해 정보보호 예산이 정보기술 예산의 일정 비율 이상이 되도록 명시하고 이동통신 등 보안 관련 고위험 산업군에 대해 강화된 인증 기준을 적용해야 한다”고 제안했다.
보안 취약성을 높이는 포지티브 규제를 미국처럼 네거티브 방식으로 바꿔야 한다는 의견도 나온다. 미국에서는 기업 자율성은 보장하되 해킹 사고가 나면 엄중하게 책임을 묻는 네거티브 규제(금지한 행위가 아니면 모두 허용하는 규제)를 적용했지만, 한국은 포지티브 규제(법률로 허용되는 것들을 나열하고 이외의 것들은 모두 허용하지 않는 규제)이다 보니 사고가 나도 소비자 피해 보상이나 손해배상 부과 등이 원활하게 이뤄지지 않는다는 것이다.
보안업계 관계자는 “최근 SK텔레콤뿐만 아니라 해외 통신사들도 중국 등 해커 집단의 표적이 되고 있고 해킹 수법도 교묘해지고 있다”며 “앞으로 AI를 활용한 해킹이 더 빈번해질 가능성이 높기 때문에 선제적인 대응책 마련이 필요하다”고 말했다.