[디지털투데이 이진호 기자] SK텔레콤과 예스24 등 최근 해킹 피해를 당한 기업들이 정부의 기술 지원을 연달아 거부한 것으로 알려지면서 이유에 관심이 쏠린다. 거짓 해명 논란까지 이어지며 당국 조사 의무를 강화하는 논의가 본격화하고 있으나 일각에서는 기업의 자율 보안을 원칙으로 해야 한다는 의견도 나온다. 

17일 IT업계에 따르면 예스24가 거짓말 논란에 직면했다. 지난주 예스24는 랜섬웨어 공격을 받았지만 이용자들에게는 '더 나은 서비스 제공을 위해 시스템 점검 중'이라고만 공지했다.  

특히 한국인터넷진흥원(KISA)이 예스24 주장을 반박하며 진실공방까지 벌어졌다. 앞서 예스24는 11일 2차 입장문에서 KISA와 협력해 원인 분석 및 복구 작업 중이라고 밝혔지만 KISA는 이를 정면 반박했다.

KISA는 같은 날 보도자료를 내고 "상황 파악을 위해 예스24로 KISA 분석가들이 두 차례 방문했지만 예스24는 KISA 기술지원에 협조하지 않고 있다"고 밝혔다. 예스24는 다음날 정오가 가까워져서야 KISA 기술지원을 받는 데 동의했다.

서버 해킹 사고를 겪은 SK텔레콤도 처음에는 KISA 지원을 거부했다. SKT는 지난 4월 20일 KISA 측에 해킹 신고 당시 ▲피해지원 서비스 ▲후속조치 지원 ▲중소기업 정보보호 지원 개인정보제공 ▲사이버 위협정보 분석공유 시스템(C-TAS) 개인정보제공 등 기술 지원 일체를 거부했다.

SKT는 이후 사안 심각성을 고려해 기술지원에 응했지만 국회에서 거센 질타를 받았다. SKT 측은 국회 청문회에서 KISA의 기술 지원을 중소기업 대상 조치로 인식했다고 해명했다. 

기업들이 KISA 기술지원에 소극적인 건 강제성이 없기 때문이다. 현행 정보통신망법에는 침해사고 신고 의무는 있지만 KISA 기술지원에 대한 강제 규정은 없다. 당국이 해킹 사고를 인지했더라도 반드시 기술지원까지는 받지 않아도 된다. KISA 관계자는 "(기업이) 동의하지 않으면 원칙적으로 기술지원을 강제할 수 없다"고 말했다. 

기업들은 가급적 내부적으로 해킹 사고를 해결하려는 분위기다. 기술지원 과정에서 내부 기밀이나 미처 몰랐던 취약점이 알려질 수 있어서다. 또 대기업의 경우 당국보다 뛰어난 보안 인력을 갖춰 오히려 정부 개입이 걸림돌이 된다는 의견도 있다. 

한 IT 업계 관계자는 "KISA가 정부 기관이긴 하지만 통신사 내부에 그보다 뛰어난 전문가들이 얼마나 많겠냐"며 "법은 지키되 내부에서 해결하려는 게 자연스러운 이치"라고 말했다.

실제 SKT도 이 같은 인식을 내비친 바 있다. 류정환 SKT 네트워크인프라 센터장은 4월 30일 국회 청문회에 출석해 KISA를 무시한 것은 아니라면서도 "저희는 충분한 기술력이나 인력이 있기 때문에 그 부분(KISA 기술지원)은 생각하지 않았다"고 말했다. 

이번 예스24 사태를 계기로 제도 개선이 필요하다는 목소리가 커지고 있다. 예스24 장애가 랜섬웨어 때문이라는 것을 처음 알린 국회 과학기술정보방송통신위원회 소속 최수진 국민의힘 의원 측은 기업 의무를 강화하는 방안을 검토하고 있다.

최수진 의원실 측은 "정보통신망법 개정 등을 통해 국민적 피해가 큰 해킹 사건의 당국 조사와 협력을 위한 법적 근거를 마련하는 방안을 검토 중"이라고 밝혔다.

단 신고 의무를 제대로 지켰다면 기업 자체적인 해결 역량을 믿어야 한다는 의견도 제시된다. 

염흥렬 순천향대 정보보호학과 명예교수는 "정보통신망법에 (KISA 기술지원을) 의무로 규정하는 것은 신중해야 한다"며 "비즈니스 리스크 책임은 기업이 지는 만큼 자율 보안을 원칙으로 하는 게 바람직할 것"이라고 말했다. 

이어 "자체적인 역량이 있는 기업이라면 스스로 기술지원(수락) 여부를 결정할 수 있도록 해야 한다"며 "정부와 국회의 정책 추진과 입법 과정에서 구체적인 사항에 대한 깊은 논의가 필요하다"고 덧붙였다.