침해사고/위협동향

KT, ‘해킹으로 인한 고발’ 첫 사례 될 뻔한 사연

이민형 기자
[IT전문 미디어 블로그=딜라이트닷넷]

최근 발생한 KT 해킹사건과 관련 보안담당 기자들이 기자실에 모이면 하는 말이 있다.

‘KT가 고객정보 유출 사실을 한 달만 늦게 알아챘다면 더 큰 파장 생겼을 것’

이런 이야기가 나오는 이유는 이달 18일부터 정보통신망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률) 개정안이 시행되기 때문이다. 새롭게 시행되는 법령에는 ‘정보통신사업자의 고발’이란 항목이 추가돼 있다.


국회는 지난 2월 17일 정보통신사업자들의 정보보호 의무를 확대하고 이용자들의 권리를 보호하기 위해 정보통신망법을 개정했다.

개정 정보통신망법은 현재 IT현황에 맞춰서 개정된 내용이 많다. 신설된 법령으로는 ▲주민등록번호 사용제한 ▲개인정보 누출등의 통지·신고 ▲개인정보 이용내역의 통지 ▲정보보호사전점검 ▲정보보호최고책임자 지정 ▲개인정보보호 관리체계의 인증 ▲정보보호 관리등급 부여 ▲방송사업자에 대한 준용 ▲정보통신서비스 제공자 고발 등이다.

여기서 주목할 부분은 ‘정보통신서비스 제공자 고발’이다. 정보통신망법 제69조의2항을 살펴보면 ‘방송통신위원회는 제64조의3제1항 각 호의 어느 하나에 해당하는 행위가 있다고 인정하는 경우에는 해당 정보통신서비스 제공자등을 검찰 등 수사기관에 고발할 수 있다’는 부분이 명시돼 있다.


정보통신망법 제28조 1항 2조에는 ‘개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치·운영’ 부분이 있다. 아직 수사가 종결된 것은 아니지만 KT는 해커들이 비정상적인 방법으로 고객영업시스템에 접근하는 것을 막지 못했다는 점에서 과실이 있었다고 볼 수 있다.

지금까지 개인정보유출 사고를 일으킨 기업은 과징금만 부과 받았다. 민사소송으로 인한 피해보상이 있을 수 있으나 과징금 이외의 처벌규정은 딱히 없었다.

제69조의2항 신설로 개인정보보호에 대한 기술적·관리적 조치(정보통신망법 제28조)를 취하지 않은 사업자는 ‘고발’을 당하는 등의 불편한(?) 경험을 할 수도 있다.

즉, 만약 KT가 고객정보 유출 사건을 한 달만 늦게 알았어도 ‘해킹 사건으로 인한 고발의 첫사례’란 불명예를 안게 됐을지도 모른다는 이야기다.

비단 KT만의 문제는 아니다. 엎지른 물은 다시 담을 수 없기 때문에 처음부터 엎질러선 안된다. 이번 사건을 계기로 개인정보를 취급하는 모든 사업자는 더더욱 보안에 신경 쓰길 기대한다.

[이민형 기자 블로그=인터넷 일상다반사]
이민형 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널