국내 주요 통신사에서 보안 사고 정황이 이어지고 있지만 정부의 대응은 늦장이라는 비판이 거세다. 해킹 사실을 기업이 인정하고 신고해야만 조사가 가능하다는 현행 제도 탓에, 피해는 확산되는데도 초기 대응이 지연되고 있다는 것이다.

KT의 경우 지난달 27일부터 일부 지역에서 무단 소액결제 피해가 보고됐지만, 과학기술정보통신부와 한국인터넷진흥원(KISA)이 조사에 들어간 것은 이달 8일이었다. 피해 발생 후 열흘이 지나서야 공식 조사에 착수한 셈이다. KT가 뒤늦게 침해사고를 신고했기 때문이다.

현행 정보통신망법은 통신사 등 정보통신서비스 제공자가 침해사고를 자진 신고해야만 과기정통부와 KISA가 민관합동조사단을 꾸려 조사할 수 있도록 규정한다. 기업이 신고를 거부하거나 사고 사실을 인정하지 않으면 정부는 조사에 나설 권한이 없다. 실제로 이번 사건에서도 경찰은 피해자 신고를 바탕으로 수사를 이어갔을 뿐, 정부 차원의 조치는 신고가 접수된 이후에야 가능했다.

비슷한 문제는 앞서 KT와 LG유플러스가 해커 조직의 공격을 받았다는 의혹이 제기됐을 때도 반복됐다. 두 회사가 침해사고를 부인하며 신고하지 않자 과기정통부는 정식 조사에 착수하지 못했다. 하지만 미국 보안 매체 ‘프랙(Phrack)’은 KT의 보안 인증서, LG유플러스의 내부 서버 관리 시스템 소스코드와 수만 개 계정 정보 등이 실제로 유출됐다고 폭로했다.

정부는 통신사 측에 신고를 권고했으나 기업들은 “침해 정황이 없다”는 입장을 고수했다. 결국 과기정통부는 협의 수준의 제한적 사실 조사만 진행 중이다.

이 같은 구조적 문제를 해결하기 위해 국회에서는 제도 개선 논의가 시작됐다. 국민의힘 최수진 의원은 정부가 자진 신고 여부와 관계없이 적극적으로 조사에 나설 수 있도록 조사 권한을 확대하고, 통신사의 자료 제출 의무를 강화하는 내용의 정보통신망법 개정안을 발의했다.

보안업계 역시 “사업자가 신고하지 않으면 정부가 움직일 수 없는 구조가 해킹 대응을 무력화하고 있다”며 “정부가 필요할 때는 먼저 조사에 착수할 수 있도록 제도를 보완해야 한다”고 입을 모았다.