바이든 전 대통령, 퇴임 직전 '보안 강화' 서명
영국은 통신사의 보안 선제 조치 의무화
국회 입법조사처 "정보보호 예산 법률로 정해야"

2,600만 명에 달하는 SK텔레콤 전 가입자의 유심(USIM) 정보와 일부 개인정보가 포함된 서버가 해커 공격을 받은 정황이 민관합동 조사 결과 확인되면서, 통신시설 보안에 대한 실질적 대응책을 시급히 마련해야 한다는 지적이 나온다. 대형 해킹 사고를 겪은 선진국들은 관련 법적·제도적 장치를 강화하고 있는 추세다.

미국·영국·일본... 끊이지 않는 해킹 사고

일본 도쿄 지요다구에 위치한 NTT 본사 건물. NTT 제공

사회기반시설을 겨냥한 해킹 시도와 정보유출 사고는 우리나라만의 일이 아니다. 23일 보안업계에 따르면 지난 2월 일본 통신사 NTT 그룹 계열의 NTT커뮤니케이션즈에서 내부 시스템 해킹 사고가 발생했다. NTT는 "이미 이용이 끝나 관리자가 배정되지 않은 서버가 공격당했다"며 기업 고객 데이터 약 1만8,000건이 유출됐다고 밝혔다.

미국에서는 2021년 이동통신업체 T모바일에서 7,660만 명분의 고객 신용정보가 유출됐고, 2023년에는 미국 최대 통신사 AT&T 외주업체의 클라우드 저장소가 해킹당해 890만 명의 고객 정보가 새어나갔다. 영국도 예외가 아니었다. 유선인터넷 업체 토크토크(TalkTalk)는 2015년 해킹으로 400만 명분의 개인정보가 유출됐고 올해 1월에도 240만 명분의 개인정보가 추가로 유출됐다. 2022년에는 영국 최대 통신사 BT가 랜섬웨어조직 블랙바스타의 공격을 받아 통신망이 마비될 뻔했다.

일본, 경찰·자위대까지 동원 가능하도록 법률 개정 착수

조 바이든 전 미국 대통령. AP 연합뉴스

주요 국가들은 사회기반시설에 대한 사이버 공격을 사전에 차단하는 대책을 내놓고 있다. 일본 정부는 지난 2월 각의에서 통신사 등에 '능동적 사이버 방어 정책'을 도입하기로 했다. 사이버 공격 징후가 포착될 경우, 공격자 서버에 선제적으로 침투하거나 무력화하는 조치를 법제화하는 것이 핵심이다. 내각 사이버보안센터(NISC)와 경찰, 자위대 등이 공격 대응에 동원될 수 있도록 관련 법률 개정에도 나섰다.

미국도 대응책을 내놨다. 조 바이든 전 미국 대통령은 퇴임 직전인 지난 1월 16일 사이버 보안 강화를 지시하는 행정명령에 서명했다. 정부가 인공지능(AI) 기반의 사이버 보안 도구와 기법을 개발하고, 각 정부 기관이 사이버 위협 정보를 공유하도록 했다. 미국 연방통신위원회(FCC)는 통신 서비스 제공업체가 향후 사이버 공격에 대한 보안 관리 계획을 수립, 이행했음을 증명하는 연례 인증서를 FCC에 제출하도록 했다. 영국의 경우 2022년 시행한 '통신보안법'을 통해 통신사가 보안 선제 조치를 하도록 의무화하고 위반 시 연매출의 10%를 과징금으로 부과할 수 있도록 했다.

"정보통신망법 개정해 정보보호 예산 최소 투자 비율 정해야"

게티이미지뱅크

우리나라도 이런 대책이 필요하다는 목소리가 나온다. 국회 입법조사처는 최근 보고서에서 "SKT 해킹 사고를 통해 자율 보안의 한계가 드러났다"며 전자금융감독규정을 참고해 정보통신망법에 정보보호 예산의 최소 투자 비율을 밝히는 방안을 제안했다. 2월 개정 전 전자금융감독규정은 '금융회사 또는 전자금융업자가 정보보호예산을 정보기술부문 예산의 7% 이상이 되게 노력할 의무'를 규정하고 있다.

김진욱 기자 kimjinuk@hankookilbo.com

Copyright © 한국일보. 무단전재 및 재배포 금지.