국회입법조사처 ‘이슈와 논점’ 보고서

2025.5.12/뉴스1

SK텔레콤 해킹 사태를 계기로 통신사를 노린 해킹 공격이 국가 안보를 위협할 수준에 이르렀다는 지적이 나오고 있다. 반복되는 피해를 막기 위해 국내 통신사의 정보보호 예산을 일정 비율 이상 의무화하는 법 개정이 필요하다는 주장이 제기됐다.

국회입법조사처는 21일 ‘이슈와 논점’ 보고서를 통해 SK텔레콤의 해킹 사태 뿐만 아니라 2012년과 2014년 KT와 2023년 LG유플러스의 유사한 사례를 언급하며 통신사를 노린 사이버 침해가 통신망 마비나 개인정보 대량 유출을 넘어 국가 사이버 안보에까지 위협이 될 수 있다고 분석했다. 이에 대비하는 통신사의 정보보호 투자 확대를 유도하기 위해 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)’을 개정하는 방안이 제시됐다.

앞서 KT와 LG유플러스도 대형 해킹사고를 경험했다. KT는 2012년 약 870만 명의 이름·주민등록번호·전화번호·사용 요금제 등 가입정보가 유출됐고, 2014년에는 홈페이지 취약점을 통한 해킹으로 1200만 명의 이름·주민번호·계좌번호 등이 외부로 빠져나갔다. LG유플러스는 2023년 30만 명의 고객 정보가 유출되면서 이름·생년월일·전화번호·집주소·단말기 모델명·이메일·유심 정보 등이 다크웹에 유출됐다.

국내 통신사들이 인공지능(AI), 데이터센터 등 신사업 확대에 힘을 싣는 사이 보안 장비나 인력 투자는후순위로 밀려났다는 비판도 나온다. SK텔레콤과 KT, LG유플러스가 공시한 지난해 정보보호 투자액은 각각 600억 원, 1218억 원, 632억 원으로 3사의 정보보호 투자 비중은 각각 4.1%, 6.4%, 6.6%였다. 특히 사상 최대의 해킹 사태가 발생한 SK텔레콤은 가장 많은 가입자 수를 보유하고 있음에도 정보보호 투자 비중은 다른 통신사에 비해 낮았다.

입법조사처는 이를 개선하기 위해 정보통신망법 개정을 통해 정보보호 예산이 정보기술 예산의 일정 비율 이상이 되도록 법적 근거를 마련할 필요가 있다고 제안했다. 이는 금융권의 ‘전자금융감독규정’이 정보보호 예산 비율을 의무화하는 방향으로 강화된 사례와 유사한 맥락이다.

아울러 해킹 피해 서버가 주요정보통신기반시설 지정 대상에서 제외된 점을 지적하면서 이동통신사의 핵심 서버 등이 누락되지 않도록 지정 범위를 확대하고, 고위험 산업군에 대한 강화된 보안 인증 기준과 사후심사 현장 점검 강화 등을 법령에 명확히 포함시켜야 한다고 했다.

남혜정 기자 namduck2@donga.com

Copyright © 동아일보. All rights reserved. 무단 전재, 재배포 및 AI학습 이용 금지