2일 정보통신(IT) 업계에 따르면 최근 한국인터넷진흥원(KISA)은 이같은 내용의 '정보통신망법 개정방향에 대한 연구 보고서'를 내놨다. 현재 KISA는 정보통신망법 개정을 위한 연구반을 운영 중이다. 현행 법령이 디지털 환경의 변화상을 제대로 반영하지 못한다는 문제의식에서다.
이 보고서는 연구반 활동 일환으로 KISA가 입법정책연구원에 의뢰해 작성한 용역 보고서다. 과학기술정보통신부 역시 사이버 위협에 대응하기 위해 정보통신망법 개정을 추진 중이며 이를 참고할 것으로 보인다.
━
"보안 취약점 점검, 침해사고시 원인·조치결과 자료 반드시 제출해야"━
현행 정보통신망법에 따르면 주요 정보통신서비스 제공자는 △기간통신사업자(통신사) △부가통신사업자(인터넷 기업) △정보제공매개 사업자(스마트홈 네트워크, 드론 등) 등으로 주로 전국 단위 서비스를 운영하는 기업이 해당한다.
현행 법은 중대한 침해사고가 발생한 기업에 정부가 사고원인을 분석하기 위한 자료를 제출하도록 요청할 수 있지만, 이를 제출하지 않아도 강제할 수는 없다. 해당 보고서는 정부 요구에 응하지 않거나 거짓으로 제출한 기업에 1000만원 이하 과태료 부과 조항 신설을 제안했다. 제출대상 자료는 원인분석과 조치결과, 정보통신망의 접속기록 등이다.
이 밖에 과기정통부가 '허니팟(해커나 악성코드 활동을 수집하는 일종의 덫)'을 이용해 직접 감염경로와 취약점 점검 활동에 나설 수 있다는 내용도 포함됐다. 그간 관리감독 역할에 그쳤던 과기정통부가 능동적으로 탐지활동에 나서야 한다는 것이다. 실제 독일도 2020년 IT보안법을 통해 정부가 직접 '허니팟'을 사용할 수 있도록 규정했다.
━
"우리 기업 데이터, 어디까지 내야 하나" 제출범위 '관건'━
다만 이같은 조항들이 법령개정에 반영될지는 미지수다. 많은 기업들이 보안 취약점 분석을 보안기업 등에 의뢰하더라도 결과는 민감 정보라는 이유로 공개하기 꺼리는 경향이 있어서다. 실제 지난해 개인정보보호법 개정안 논의 과정에서도, 개인정보보호위원회가 유출 사고가 발생한 장소에 방문해 관련 자료를 직접 조사·열람할 권한을 갖는다는 조항에 대해 주요 기업들은 "경찰에 준하는 강제 수사권"이라며 반발한 바 있다.
한 인터넷 기업 관계자는 "제출해야 할 자료 범위가 현재로선 모호하고 (실제 이 같은 법안이 시행될 경우) 기업내 정보유출도 우려된다"며 "과태료까지 부과해 강제할 수 있을지는 의문"이라고 말했다.
KISA 관계자는 "해당 용역보고서는 향후 법안 개정을 위한 의견수렴 차원"이라며 "법 개정 과정에는 업계와 전문가 의견이 두루 반영될 것"이라고 말했다. 과기정통부 관계자 역시 "해당 보고서 내용 등을 포함해 다각도로 법 개정 방향을 검토하겠다"고 말했다.
<저작권자 © ‘돈이 보이는 리얼타임 뉴스’ 머니투데이. 무단전재 및 재배포, AI학습 이용 금지>