2025.10.21 화요일
검색
'국회입법조사처' 검색결과
기간검색
-
~
검색영역
검색어
-
12만명 개인정보 털렸는데, 72시간 묵살…공공기관 보안의 민낯 [이코노믹데일리] 지난 6월 발생한 한국연구재단 해킹 사건이 단순한 개인정보 유출을 넘어 대한민국 공공기관 정보보호 체계의 총체적 부실을 드러낸 ‘인재(人災)’였다는 국회입법조사처의 날카로운 지적이 나왔다. 국회입법조사처는 21일 발간하는 ‘이슈와 논점’ 보고서를 통해 이같이 밝히고 과학기술정보통신부 사이버안전센터를 포함한 국가 보안 관제 시스템 전반의 근본적인 재점검이 시급하다고 경고했다. 이번 사건은 국가 연구개발(R&D)의 핵심을 담당하는 공공기관이 이메일 주소와 URL을 조작하는 단순한 해킹 기법에 무방비로 뚫렸다는 점에서 충격을 줬다. 해커들은 연구재단의 논문투고시스템(JAMS)을 해킹해 연구자 12만 명의 개인정보를 탈취했으며 유출된 정보로 일부 피해자의 명의가 도용되는 2차 피해까지 발생했다. 보고서는 이를 "연구생태계의 신뢰 기반을 흔들 수 있는 중대한 사안"이라고 규정했다. 더 큰 문제는 사후 대응 과정에서 드러난 정부의 안일함이다. 과기정통부 산하 기관들의 정보보안을 24시간 통합 관제해야 할 사이버안전센터는 이번 해킹을 자체적으로 인지하지 못했다. 1차와 2차 피해 모두 외부의 의심 신고로 뒤늦게 파악되면서 현행 관제 체계가 사실상 제대로 기능하지 않았음이 명백해졌다. 심지어 사이버안전센터는 정밀조사를 통해 유출 사실을 확인했음에도 '피해 규모 미확정'을 이유로 72시간 동안 '유출 없음'이라는 기존 공지를 유지해 비판을 자초했다. 이는 공공기관의 책임성과 신뢰성을 스스로 훼손하고 2차 피해 가능성을 키운 무책임한 처사였다. 국회입법조사처는 이번 사태의 책임이 연구재단에만 국한되지 않는다고 못 박았다. 24시간 통합 관제라는 본연의 임무를 망각한 사이버안전센터와 수탁 운영 기관인 한국과학기술정보연구원(KISTI), 그리고 공동 주무 부처로서 관리·감독에 소홀했던 과기정통부와 교육부 역시 책임에서 자유로울 수 없다는 것이다. 보고서는 이번 사건을 계기로 공공기관 보안 시스템 강화를 위한 구체적인 법·제도 개선 방안을 제시했다. 현재 대통령령에 근거해 제재 수단 없이 운영되는 공공기관 사이버보안 자체 점검 규정을 '전자정부법' 등 상위 법률로 격상하고 미이행 시 과태료를 부과하는 등 실효성을 확보해야 한다고 제안했다. 또한 개인정보 유출 인지 즉시 우선 통지를 의무화하고 공공기관을 정보보호관리체계(ISMS) 인증 및 정보보호 공시 의무 대상에 포함하는 방향으로 관련 법 개정을 검토해야 한다고 강조했다. 이번 보고서는 소 잃고도 외양간조차 제대로 고치지 못하는 공공 부문의 보안 불감증에 대한 강력한 경고장으로 풀이된다.2025-07-20 13:14:11
-
SKT 유심 유출, 재난문자 왜 없었나… "입법 미비 탓" [이코노믹데일리] 지난 2022년 카카오 서비스 먹통 사태 당시에는 정부가 수차례 재난안전문자를 발송했지만 최근 발생한 SK텔레콤 유심 정보 유출 사고에서는 관련 안내가 없었던 배경에 '입법 미비'가 있다는 국회입법조사처의 분석이 나왔다. 정보통신망 해킹 사고 발생 시 국민에게 직접 위험을 알릴 수 있는 명확한 법적 근거가 부족해 피해 예방 기회를 놓칠 수 있다는 지적이다. 국회입법조사처는 7일 발간한 '통신사 해킹 사고 사후대응의 문제점과 입법 과제 : SK텔레콤 해킹 피해 사태를 중심으로' 보고서에서 이같이 밝혔다. 현행 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)은 침해사고 발생 시 과학기술정보통신부 장관이 관련 경보를 발령하도록 규정하고 있다. 하지만 입법조사처는 "이는 사업자 및 관계 기관에 대한 경보에 그칠 수 있고 국민에게 직접적으로 위험성을 전달하는 경보 체계를 갖추고 있지는 않다"며 "해킹 사고에서 정부의 경보 체계가 부재한 것은 국민의 경각심을 떨어뜨리고 피해 예방 기회를 놓치게 하므로 개선이 필요하다"고 평가했다. 카카오 사태 때는 데이터센터 화재로 인한 서비스 중단이 재난 및 안전관리 기본법(재난안전법)상 사회재난으로 분류돼 재난문자 발송이 가능했지만 이번 SK텔레콤 해킹 사고는 정보통신망 중단이 발생하지 않아 사회재난이나 방송통신발전 기본법상 방송통신재난으로 보기 어려웠다는 설명이다. 이에 입법조사처는 정보통신망법에 침해사고 발생 시 경보 대상, 내용, 방식을 구체적으로 명시하고 광범위하거나 중대한 위험 발생 가능성이 있을 경우 행정안전부 장관과 협의해 재난경보체계를 활용, 국민에게 신속히 안내할 수 있는 체계 마련을 제안했다. SK텔레콤의 부실한 초기 대응 문제도 도마 위에 올랐다. 사고 발생 후 뒤늦은 정부 신고와 고객 안내 미흡, 유심 교체 준비 부족 등으로 비판을 받은 데 대해 SK텔레콤 측도 일일 브리핑에서 일부 인정하며 개선을 약속한 바 있다. 현행 개인정보 보호법은 유출 대상자가 특정되지 않는 경우 홈페이지 게시로 개별 통지를 갈음할 수 있도록 하고 있으나 이는 정보 주체의 신속한 인지를 어렵게 한다는 지적이 제기됐다. 입법조사처는 "유출 피해자를 빠른 시일 내에 특정하지 못한다면 이는 유출 범위와 내용을 정확히 알지 못하는 것이므로 최악의 시나리오를 가정해 적극적으로 선제적 조치를 취해야 한다"며 "신속한 대응 조치가 필요한 개인정보가 유출된 경우에는 유출 피해자가 명확히 특정되지 않더라도 모든 가입자 또는 유출 의심자 전체를 대상으로 위험 상황과 대응 방법을 명확히 안내하도록 개인정보 보호법을 개정해야 한다"고 강조했다. 피해자 구제 방안 역시 시급한 과제로 지적됐다. SK텔레콤은 이용 약관에 회사의 귀책사유로 계약 해지 시 위약금을 면제할 수 있다는 조항이 있음에도, 이번 사태와 관련해서는 "법적 검토가 필요하다"며 명확한 입장을 내놓지 않고 있다. 박소영 입법조사관은 보고서에서 "통신사 해킹 사고는 신원 인증 정보가 유출되어 금융 사고로 이어질 가능성이 높다"며 "이를 막기 위해서 이동통신사는 별도의 조건 없이 유심 무상 교체, 추가 인증 서비스를 제공해야 하고 피해자가 통신사 이동을 원할 경우 위약금을 면제하는 조치를 취해야 한다"고 밝혔다. 이러한 내용을 정보통신망법이나 전기통신사업법에 명시하고 피해자가 개인정보 유출과 피해 발생 간의 인과관계를 입증하기 어려운 점을 고려해 개인정보 보호법에 '상당한 개연성이 있는 때에는 인과관계를 추정하는 규정'을 두는 방안도 검토할 필요가 있다고 덧붙였다. 아울러 기업의 소극적 대응이나 사고 은폐를 방지하고 실효성 있는 조사를 위해 정보통신망법상 과태료를 상향하거나 이행강제금을 부과하는 등 조사 강제력 강화도 제안됐다.2025-05-07 15:54:29
많이 본 뉴스
영상
Youtube 바로가기
![[데스크 칼럼] 네이버-두나무 빅딜, 간절함이 빚어낸 ICT 지형 재편](https://image.ajunews.com/content/image/2025/10/10/20251010095405645477_518_323.jpg)