<디지털데일리>는 10월13일 시작하는 국회 국정감사를 앞두고, 사이버보안·안보 중요성을 환기하고자 합니다. 대기업·금융사·중소기업 가리지 않고 해킹사태가 연이어 발생하면서, 국민 불안은 더욱 커지고 있습니다. 안전한 대한민국을 위해서라도, 대한민국이 보안강국으로 나아가야 할 구체적 전략을 세워야 할 때입니다. 이에 본지는 각 분야 전문가를 통해 대한민국 보안의 현 주소와 정책적 과제 등을 짚어보고자 합니다. <편집자 주>

김도엽 김·장 법률사무소 변호사. [ⓒ 본인 제공]

[디지털데일리 최민지기자] "사이버 침해사고 발생 때 핵심 이슈는 피해 확산을 방지하고 시스템을 복구하며 정보주체 피해를 최소화하는 겁니다. 그러나 현장에서는 이러한 골든타임에 다수 기관이 거의 동시에 현장조사부터 자료제출 요구·관계자 인터뷰 등을 진행하고 있죠."

김도엽 김·장 법률사무소 변호사는 <디지털데일리>와 인터뷰를 통해 해킹·개인정보 유출 등 보안사고를 당한 후 기업들이 겪는 현실을 전했다. 현재로서는 사이버보안과 개인정보·데이터를 다수 정부 기관이 담당하는 만큼, 중복 조사와 대응은 어쩔 수 없는 현실이다.

하지만 해킹과 개인정보 유출 피해 심각성이 커지는 만큼, 이제는 국가적으로 일원화된 대응력을 갖춰야 한다는 주장에 힘이 실리고 있다. 이와 관련 김 변호사는 원스톱 신고·조사 체계를 구축하고 복원력 우선에 중심을 둬야 한다고 밝혔다.

김 변호사는 "개인정보 유출 대응력을 강화하기 위해서는 단일 창구를 통한 신속 보고와 정보 공유가 필요하다"며 "현재 다원화된 체계로는 기업은 물론, 국가적 대응력이 제한된다. 사고에 따라 초기 신고를 유연하게 운영하고 신고를 통합된 채널로 일원화해야 한다"고 제언했다.

Q. 현재 한국은 해킹과 개인정보 유출 사고가 발생하면 과기정통부·개인정보위·한국인터넷진흥원·경찰 등 여러 정부부처·기관에서 동시 다발적으로 조사하게 된다. 이유는 무엇인가?

▲현재 여러 기관에서 사이버보안과 데이터 관련 정책을 담당하고 있다. 사고가 발생하면 각 기관이 개별적으로 조사와 대응에 나선다. 피해 기업은 중복적인 조사를 받게 되고, 일관된 대응체계를 가동하기 어렵다.

이처럼 다원화된 구조는 사이버 공격이 여러 영역에서 발생했을 때 초기 골든 타임을 놓치는 원인이 될 수 있다. 이로 인해 추가 피해가 확산되기도 한다.

Q. 해킹 피해 기업은 오히려 사고를 당한 후 여러 기관들 조사에 응하느라 서비스 복원력을 갖추기 어렵다고 호소하기도 한다. 이에 대해 어떻게 생각하는가?

▲침해사고 발생 때 핵심 이슈는 피해 확산을 방지하고 시스템을 복구하며 정보주체 피해를 최소화하는 것이다.

그러나 현장에서는 이러한 골든 타임에 다수 기관이 거의 동시에 현장 조사·자료제출 요구·관계자 인터뷰 등을 진행하게 된다. 이때 각 기관은 서로 다른 법적 근거에 따라 유사한 자료를 기업에 요구하기도 한다. 각 법령에서 정하는 신고 기한과 신고 접수 방법 차이도 있다. 기업 보안·IT 인력은 복구 작업 대신 조사 대응에 핵심적인 역량을 소모할 수밖에 없다.

조사 대응과 관련해 디지털 포렌식 과정에서 서버나 시스템을 임시로 보존하거나 접근이 제한되기도 한다. 다수 기관 조사가 중복적으로 이뤄지면 복구 작업을 통한 서비스 정상화가 지연될 수 있다. 물론, 일부 중복을 줄이려는 장치는 있지만 기관 요구자료와 현장점검 권한 등이 상이해 기업이 크게 효과를 체감하기엔 어렵다.

Q. '다원적 신고 및 조사'와 '조사 대응과 복구 충돌'이 문제가 될 수 있다는 건데, 그렇다면 일원화된 국가적 대응체계를 구축하려면 어떤 장치가 필요하다고 보는가?

▲원스톱 신고·조사 체계 구축을 고려할 수 있다. 단일한 접수창구에서 특정한 접수번호로 신고하면, 사건에 따라 각 기관으로 배분·공유하는 방안이다. 기업에게 중복 자료 요청을 제한하고 질문·자료 요청 표준화를 의무화하는 방식도 고려할 수 있다.

이와 함께 '공동 포렌식' 에 대한 법적 근거를 마련할 필요가 있다. 대규모 사고 발생 때 피해 기업 '복구 지연'을 예방해야 한다. 기업이 참여하는 합동 조사팀 구성·운영의 법적 근거를 마련해 증거 수집·분석을 일원화하고 불필요한 중복 조사를 사전에 방지해야 한다.

이를 위해서는 사이버 안보와 개인정보보호를 아우르는 의사결정 기구 기능을 강화해야 한다. 이러한 컨트롤타워가 각 부처 간 정책 충돌을 조정하고, 대규모 국가적 위협 발생 때 각 기관 대응을 총괄 지휘할 수 있는 행정적 권한과 책임을 명확히 부여해야 한다.

Q. 사이버침해 사실 발견 이후 시스템 복구와 추가 피해 차단 조치도 빠르게 이뤄져야 한다. 기관 조사와 충돌하지 않게 하려면, 어떤 방안을 고려할 수 있겠는가?

▲조사보다 '복원력 우선’(Resilience First)'을 법령 수준에서 규정하는 방안을 꼽을 수 있다. 초기 골든타임은 우선 정보주체 보호를 위해 위험을 격리하고, 복구에 집중하는 것이 적절하다. 이러한 골든타임에는 조사기관 요청은 최소화하고 단계적 자료 제출을 허용하는 구조로 가야 한다.

예를 들어, 사고 인지 직후 일정 시간은 복구·고객보호와 추가피해 차단을 최우선으로 하는 시간으로 정한다. 긴급한 경우를 제외하고는 규제 기관이 조사에 착수해 현장방문 하는 것을 일부 유예하는 방식도 생각해볼 수 있다.

Q. 해외에서 참고할 만한 사례가 있는가?

▲유럽연합(EU) NIS2 Directive(Network and Information Systems Directive)의 24시간 내 초기 경보(Early Warning), 72시간 내 사고 통지(Incident Notification), 1개월 내 최종 보고(Final Report) 구조를 참고할 수 있다.

▲신속 신고와 자발적 공유를 한 곳에 대해선 행정제재를 감경하거나 면책하는 방안도 검토해볼 수 있다. 이때에는 미국의 CIRCIA(Cyber Incident Reporting for Critical Infrastructure Act, 2022, U.S.)를 참조할 수 있다. CIRCIA에서는 성실하게 보고한 정보에 관해서는 규제 조치를 제한한다거나 소송증거 사용제한을 규정하고 있다.

Q. 사이버침해를 당한 기업이 기관 조사를 회피하지 않게 하려면, 어떤 제도적 장치가 필요할까?

▲초기 신고 면책 제도가 필요하다. 해킹사고 속성상 사고 직후 제출되는 초기 신고는 불완전할 수밖에 없다. 이에 따라 기업이 성실하게 신고했다면, 초기 신고서의 불완전성을 이유로 제재하지 아니한다는 이른바 '성실 신고 면책'을 고려해야 한다. 초기 신고 목적은 '과징금 부과'가 아닌 피해 확산을 차단하고 '복원력 확보'라는것을 행정 집행 과정에서 일관되게 유지해야 한다.

또한 평소 보안·개인정보 보호에 선제적으로 충분히 투자한 기업에 대해서는 사고 발생 때 과징금 경감 등 실질적인 인센티브를 부여하는 제도적 장치를 마련해야 한다. 이러한 제도적 장치를 통해 기업이 기관 조사를 회피하는 것이 아닌 선제적 투자를 통해 리스크를 관리하는 프레임워크를 구축하도록 유도해야 한다.

Q. 해킹 및 개인정보 유출 사고가 계속되면서 직권조사와 징벌적 손해배상과 집단소송제에 대한 언급도 많아지고 있다. 이러한 방안들이 정보보호에 어떤 영향을 미칠 것으로 전망하는가?

▲최근 정부와 국회에서는 직권조사 권한을 논의 중이며, 중대한 해킹사고에 대한 검증위원회나 조사심의위원회도 거론되고 있다. 직권조사로 신고 지연이나 은폐 유인 등을 줄이고 초기대응 공익성을 높일 수 있다. 대형 사고에선 신속한 사실관계 확정도 용이해진다. 그러나, 여전히 피해 복구와 확대방지를 우선해야 한다. 직권조사가 이러한 복구와 충돌하지 않도록 요건·범위·절차를 마련하는 것이 필요하다.

개인정보보호법 개정으로 과징금 상한이 '전체 매출액의 3%'로 상향되면서 과징금이 실제 경영진급 이슈가 된 것은 사실이다. 실질적인 사이버 보안 역량 강화를 위해서는 단순히 징벌적 과징금만 강화하는 것이 아니라 사전적 관리체계 구축·침해사고 조기 탐지·성실한 보고 의무 이행·피해구제 절차 구축 등이 함께 논의돼야 한다. 자진 신고·성실한 복구 노력에 대해서는 과징금을 대폭 감경해주는 인센티브 제도 또한 동시에 설계돼야 한다.

개인정보보호법에서는 징벌적 손해배상을 규정하고 있다. 하지만 실제 소송에서는 증거개시제도(Discovery)·자료제출명령·비밀유지명령 등 관련 절차적 장치가 함께 정비돼야 징벌적 손해배상 실효성이 담보될 수 있다. 징벌적 손해배상과 집단소송제가 결합돼 작동하는 경우 기업은 예상하지 못한 대규모 소송 리스크에 노출될 수 있고, 이는 경영의 불확실성을 과도하게 확대할 수 있다. 일부 분야에서 집단소송제 전면 확대 논의가 이어지고 있으며, 입법화 여부에 따라 기업의 법적 환경은 크게 달라질 수 있다.

Q. 기업과 기관이 사이버보안·개인정보보호를 법적 리스크를 줄이는 투자로 인식하려면 어떠한 사회적·제도적 노력이 필요할까?

▲제도적 유인과 사회적 인식 전환이 동시에 필요하다. 앞서 언급한 징벌적 과징금, 손해배상·집단소송제 확대는 유출 억지력을 높일 수 있다. 하지만 동시에 기업의 성실한 예방과 관리 노력이 제재에 반영되도록 해야 한다.

예컨대 일정한 수준 인증제도와 최고경영자(CEO) 보안 투자 승인 기록, 보안기술 도입 이력 등이 입증된 기업에는 과징금·배상액을 감경해 주는 반면, 형식적인 보안 준수에 그친 기업에는 책임을 묻는 식이다. 개인정보보호위원회 안전관리체계에서 제시된 바와 같이 보안 투자와 회사의 책임을 연결해 보안 리더십을 제도적으로 강화해야 한다.

금융·보험과 연계해 리스크를 평가할 수 있다. 보안 수준이 곧 기업의 재무 리스크로 평가되도록 사이버보험 요율을 차등화한다거나, 신용평가나 투자 심사에도 정보보호 지표를 반영하는 식이다. 보안이 부실한 기업은 보험·투자 등에서 일정한 불이익을 감수하게 해, 보안 투자가 곧 비용 절감과 가치 상승으로 이어지도록 새로운 시장 메커니즘을 유도해야 한다.

또, 보안사고와 정보를 투명하게 공유하되 세이프 하버(Safe Harbor)를 보장해 처벌이 아닌 공동 방어망을 구축하고 제한된 목적으로만 활용되도록 해야 한다. 보안전문가를 IT 부속 인력이 아닌 핵심 리스크 관리자로 인정하는 문화도 필요하다.

Q. 고도화된 사이버공격에 대응하기 위해 국가적 통합 전략을 수립하는 데 있어, 어떤 사항을 검토하기를 바라는가?

▲현재의 일률적 규제 시스템은 기업의 적극적 보호조치에 관한 제도적 유인이 되기 어려워 보인다. 기존 '최소한' 의무 위주 보안조치가 아닌 새로운 기술 발전에 따른 분야별 특수성을 고려한 위험 기반 '최적의' 예방적 보안조치를 채택할 수 있도록 하는 제도적 인프라를 구축할 필요가 있다.

우선, 사고 발생 이전에도 규제 부처 간 협의체를 상시 운영해 최신 위협 정보를 공유하고 정책 집행 일관성을 유지해야 한다. 또, 각 기업이 보유한 위협 정보와 기술 역량이 실시간 상호 공유되고 유기적으로 협력하는 제도가 필요하다.

특히, 위협과 관련된 정보의 국가적 활용 체계를 강화해야 한다. 특정 기관이 보고된 정보를 독점하는 것이 아니라, 이를 분석·익명화해 다른 기관과 기업에 신속히 전파하는 데 중점을 둬야 한다. 주요 시설을 운영하는 기관·기업에는 정부가 제공하는 위협 관련 정보를 수신하고 활용하도록 협력 의무를 부과해야 한다.

◆김도엽 변호사는?

김도엽 김·장 법률사무소 변호사는 국내 대표 정보보호·개인정보 분야 전문 변호사로 꼽힌다. 김 변호사는 ▲CIPP/E ▲PIA ▲ISO27001 ▲ISMS-P 등 정보보호 개인정보보호 관련 국내외 주요 자격을 보유하고 있다. 대한변호사협회에 등록된 IT전문방송통신전문 변호사이기도 하다.

그는 개인정보보호위원회 기술포럼 기술분과 간사이자 인공지능 프라이버시 민·관 정책협의회 위원 등 다수의 공공 자문 활동을 맡고 있다. 온라인 행태정보 보호 민·관협의체와 KISA·국세청 등 가명정보 평가위원이자, 과학기술정보통신부 데이터분쟁조정위원회 위원으로도 활동 중이다. 2023년 대통령 표창을 비롯해 ▲개인정보보호위원회(2021) ▲지능정보사회진흥원(2020) ▲방송통신위원회(2017) ▲행정자치부(2015) 등으로부터 여러 차례 개인정보보호 유공 표창을 받은 바 있다.