[디지털투데이 박근모 기자] #사례1. 지난 2011년 소셜커머스 티몬 홈페이지 해킹으로 인해 113만여명에 해당하는 고객의 개인정보가 유출됐다. 그로부터 3년 뒤 2014년 3월 방송통신위원회의 법적 절차 완료로 개인정보 유출 사실이 공개됐다.

#사례2. 지난 2012년 7월 KT 홈페이지를 통한 개인정보 유출 사고가 발생해 1170만여건에 달하는 이름, 주소, 주민등록번호, 이메일, 전화번호, 계좌번호 등이 유출됐다. 그로부터 2년 뒤인 2014년 6월 방통위는 KT 개인정보 유출 조사 결과를 발표하며 과징금 및 과태료, 기술적 보호조치 수립 등 시정명령을 부과했다.

#사례3. 2016년 5월 인터넷 쇼핑몰 인터파크에서 2540만여건에 달하는 고객 개인정보가 유출됐다. 같은해 12월 방송통신위원회는 인터파크 개인정보 유출 사고 조사를 완료하고 과징금 44억8000만원을 부과했다.

#사례4. 올해 3월 해킹으로 인해 O2O 숙박업체 여기어때의 회원정보 342만건이 유출됐다. 그로부터 6개월 뒤인 지난 9월 방통위는 개인정보보호 법규 위반 결정을 내리며 과징금 3억100만원을 부과했다.

#사례5. 올해 6월 호스팅 업체 인터넷나야나가 랜섬웨어로 인해 서비스 중이던 서버 153개가 감염됐다. 인터넷나야나는 해커에게 몸값으로 13억원을 지불했다. 방통위는 현재 조사를 진행 중이다.

#사례6. 올해 7월 국내 가상화폐 거래소 빗썸에서 고객 개인정보 3만여건이 내부 직원 PC 해킹으로 유출됐다. 빗썸 측은 고객들에게 자체 보상금을 지불했으며, 현재 방통위는 조사를 진행 중이다.

#사례7. 올해 9월 이스트소프트의 알툴즈 이용자 아이디와 비밀번호 13만여건 및 알패스에 저장된 웹사이트, 아이디, 비밀번호 등이 유출됐다. 방통위는 현재 조사를 진행 중이다.

#사례8. 지난 23일 구글이 안드로이드 운영체제(OS) 탑재 스마트폰에서 사용자 동의 없이 위치정보를 무단 수집했다는 사실이 공개됐다. 현재 방통위는 해당 사안에 대해 조사를 진행 중이다.

방통위와 KISA의 역할 재정립 필요성이 대두되고 있다. (로고=각 기관)

개인정보 유출 사고에서부터 랜섬웨어로 인한 피해, 해킹까지 현재 주도적으로 담당하고 있는 국가 기관은 방송통신위원회다. 반면 실질적으로 현장에서 유출 경로나 기술적 검토, 취약점 분석 등 실무는 한국인터넷진흥원(KISA)이 진행한다. 구조적으로 KISA는 상위기관인 방통위의 지시를 받게 되며, 방통위는 해당 업무를 처리하기 위해 KISA에게 협조 요청을 구한다. 어찌보면 최근 급증하고 있는 개인정보 유출이나 해킹 등 인터넷 기반 사이버공격에 대한 대처가 늦을 수 밖에 없다.

방통위는 설립목적으로 디지털 기술의 발달에 따른 방송과 통신의 융합현상에 능동적으로 대응하고, 방송의 자유와 공공성 및 공익성을 보장하며, 방송과 통신의 균형발전과 국제경쟁력을 높이기 위해 출범했다고 밝히고 있다.

특히 방통위의 주요 기능으로 지상파방송 및 종편·보도PP 정책, 방송통신사업자의 금지행위 위반시 조사‧제재, 방송통신 이용자 보호정책 수립·시행, 개인정보보호정책 수립․시행 및 불법유해정보 유통방지, 방송광고, 편성 및 평가정책 수립․시행, 미디어다양성 정책 등에 관한 사항이라고 설명하고 있다.

KISA는 지난 2009년 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) 제 52조에 근거해서 만들어진 준정부 기관이다. 특히, 인터넷 정보보호 진흥기관으로서 산업진흥, 정보보호 등을 위해 운영된다.

KISA는 방송통신위원회 산하 기관 3곳 중 한국정보보호진흥원(KISA), 한국인터넷진흥원(NIDA), 정보통신국제협력진흥원(KIICA) 등 정보보호와 인터넷 관련 기관이 하나로 통합 만들어졌다.

개인정보 유출이나 사이버공격이 발생할 경우 기본적인 프로세스는 이렇게 진행된다.

먼저 개인정보가 유출된 기업이 KISA나 방통위에 유출 사실을 보고한다. KISA와 방통위에 접수된 유출 정보를 하나로 통합해 방통위로 넘겨진다. 방통위에서는 사안을 분석해 KISA에게 조사 지시를 내린다. KISA는 현장으로 가서 기술적 조사를 진행한다. 조사 결과는 다시 방통위로 넘어가게 되고, 방통위에서 검토 작업이 시작된다. 이 과정에서 추가 조사가 필요하거나 정보가 부족할 경우 다시 KISA에게 재조사를 지시하게 된다. 최종적으로 방통위 심의 과정을 거쳐 유출 사실에 대한 조사 결과를 발표하게 된다.

간단한 개인정보 유출 사고나 해킹 사고라고 할지라도 빠른 결과 도출이 어려울 수 밖에 없는 구조다.

그러다보니 양 기관 모두 답답하긴 마찬가지다.

방통위는 현장에서 조사를 진행할 전문 인력이나 장비가 전혀 없다. 하지만 상위 기관으로써 조사를 지시하기 위해 하나씩 배워가며 조심스러운 행보를 보일 수 밖에 없다.

KISA는 사고 발생시 현장에 바로 출동해 조사를 진행하고 싶지만, 상위 기관인 방통위의 지시를 통해서만 가능하다. 전문 인력과 장비가 있음에도 사고 발생시 빠른 대응이 불가능하다.

개인정보 유출사고나 해킹 사고 발생시 항상 양 기관에 취재 요청을 하면 매번 비슷한 이야기를 듣는다. 한쪽에서는 조사를 진행 했지만 상급 기관에 정보를 제공할뿐 말할 수 있는 것이 없어 답답해하고, 다른 한쪽은 아직 조사 자료가 올라오지 않아 공개할 수 있는 것이 없다고 말한다.

올 한해를 마무리하는 12월이 되면 국내·외 보안업체와 KISA 등은 내년 보안 전망을 발표한다. 매번 다양한 형태의 사이버공격이 급증하고 있다는 발표가 이어진다. 실질적으로도 매년 사이버공격이 증가하고 있다.

아마 내년에도 올해보다 더 많은, 다양한 형태의 사이버공격이 이뤄질 것으로 보인다. 이런 상황에서 이제는 방통위와 KISA가 업무 분담을 확실히 할 필요가 있어 보인다. 지금 당장 업무를 분담하자고 말하기는 어려울 수 있다. 다만, 사이버 공격에 대한 대비를 위해서라도 서로 한걸음씩 다가가는 진지한 논의가 필요할때다.

키워드

#사이버공격 #방송통신위원회 #한국인터넷진흥원 #방통위 #KISA #개인정보 #유출 #해킹 #보안 #랜섬웨어
저작권자 © 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지