숨기면 ‘솜방망이 처벌’ 밝히면 ‘때려 맞는’ 구조 깨야 [줌인IT]
||2026.04.16
“현행 제도는 해킹 사실을 투명하게 공개했을 때 치러야 할 비용보다, 증거를 지우고 버텼을 때 부과되는 과태료가 훨씬 저렴한 기형적 구조다.”
이해민 조국혁신당 의원이 3월 ‘해킹 은폐 제로 : 고의적 해킹 은폐 구조 개선 토론회’에서 내놓은 발언이다. 그는 지난해 해킹 사고와 관련해 증거 인멸 논란을 야기한 KT와 LG유플러스, 쿠팡을 지적했다.
KT는 2024년 3월부터 7월까지 악성코드 ‘BPF도어’(방화벽을 우회해 통신을 가로채는 고급 악성코드)와 ‘웹셸’(웹 서버에 업로드돼 원격에서 시스템 명령을 실행할 수 있는 악성코드)에 감염된 서버 43대를 발견하고도 정부에 신고하지 않은 채 자체 조치했다.
LG유플러스는 지난해 7월 내부 서버 관리용 계정 권한 관리 시스템(APPM) 서버의 소스코드·데이터베이스가 유출됐음에도 해킹 관련 주요 서버를 폐기하거나 운영체계(OS)를 재설치했다. 고객정보 3370만건을 유출당한 쿠팡은 정부 발표 이전인 지난해 12월 자체 조사 결과를 발표해 혼선을 야기했고, 침해사고 원인 분석을 위해 자료 보전을 명한 과학기술정보통신부의 요구를 지키지 않았다.
과기정통부는 해킹 신고 의무 등을 제대로 이행하지 않을 경우 과태료 3000만 원만 부과하도록 규정한 현행 정보통신망법에 가로막혀 세 기업에 국민 눈높이에 한참 못 미치는 처분을 내리는 데 그쳤다. 다만 세 기업 모두 정부 조사를 방해할 목적이 있었다고 보고 위계에 의한 공무집행방해 혐의 등으로 경찰에 수사 의뢰했다. 세 기업의 개인정보 유출 관련 과징금은 조만간 개인정보보호위원회에서 발표할 예정이다.
기업들의 해킹 은폐 행위가 논란이 되면서 상대적으로 주목받는 곳이 지난해 해킹 사실을 정부에 자진 신고한 기업이다. 자진 신고에 따른 기회비용이 분명함에도 절차를 투명하게 공개했다는 점에서 해킹을 은폐한 기업들과 다른 평가를 받고 있다.
대표적 사례인 SK텔레콤은 지난해 4월 해킹 사고를 정부에 자진 신고한 뒤 “통신업계 1위임에도 보안은 가장 소홀히 했다”는 국민의 질타와 정부의 행정 제재를 감수해야 했다. 최태원 SK그룹 회장이 이례적으로 현장에서 대국민 사과를 했고 해지 위약금 면제 조치도 단행했다. 지난해 통신 3사 해킹 중 첫 사례였던 탓에 자진 신고 사실은 참작받지 못했고 다른 통신사보다 상대적으로 많은 비판과 제재를 받았다.
그러나 SK텔레콤 해킹 이후 지난해 7월 KT와 LG유플러스도 해킹에 연루된 사실이 드러나면서 SK텔레콤만을 향하던 비판은 사그라들었다. 오히려 SK텔레콤 해킹 사실을 자사 영업에 활용한 일부 KT·LG유플러스 대리점의 행태를 비판하는 목소리가 커졌다. 자신들도 해킹을 당한 상태에서 경쟁사의 피해를 영업에 이용해 고객을 기만했다는 이유에서다. 이로 인해 KT는 SK텔레콤 해킹 당시 자사 해킹 사실을 숨긴 채 영업한 혐의 등으로 현재 방송미디어통신위원회의 사실조사를 받고 있다.
지금처럼 범죄나 피해 사실을 스스로 밝힌 기업이 은폐한 기업보다 더 많은 처벌을 받는다면 앞으로 어느 기업이 먼저 손을 들려 하겠나. 해킹 자체를 야기한 사실은 분명 잘못이다. 그러나 적어도 해킹 증거 은폐가 자진 신고보다 이득이 되는 현행 기형적 구조만큼은 강력한 입법을 통해서라도 반드시 바꿔야 한다.
김광연 기자
fun3503@chosunbiz.com
