"통신망을 안전하게 보호하기 위한 별도의 법 제도 방안을 마련하겠습니다."
과학기술정보통신부가 지난 7월 SK텔레콤 해킹사고에 대한 최종 민관합동조사 결과를 발표하며 이같이 밝힌지 두 달이 지났다. 현재까지 과기정통부가 민간 정보보호 관리체계 강화를 위해 발표한 정책은 여전히 빈 칸이다. SKT 사태로 유심(USIM·가입자식별모듈) 정보의 중요성이 부각됐지만 정부 차원의 관리·처리방침은 나오지 않았다. 그러다 KT 침해사고가 발생하자 정부는 부랴부랴 정보보호 분야 민간 자문단을 구성해 종합대책 마련에 나섰다. 정부가 사후약방문식 대처만 한다는 비판이 제기되는 이유다.
최근엔 근본적인 체질 개선보단 '기업 때리기'에만 골몰하는듯 보인다. KT와 LG유플러스의 해킹 정황을 보도한 미 보안전문지 프랙(Phrack) 보고서엔 사실 국군방첩사령부, 외교부, 행정안전부 '온나라' 시스템 등 공공시스템에 대한 해킹 공격 정황이 더 많은 비중을 차지했다. 공공시스템은 통신망 만큼이나 국민과 산업에 미치는 영향이 크다. 보안업계에선 "국가 안보가 흔들리고 있다"는 우려가 잇따랐다. 그런데도 이에 대한 정부 차원의 진상 조사나 재발방지책을 마련하겠다는 목소리는 들리지 않는다.
반면 기업 꾸짖기는 계속된다. 이재명 대통령은 지난 7월 2차 수석보좌관 회의에서 "회사의 귀책사유로 피해자가 손해보는 일이 없어야 한다"고 말한 후 "보안 사고기업에 징벌적 과징금 등 강력한 대처를 신속히 준비하라"(9차 회의), "은폐축소 의혹을 분명히 밝혀 책임을 물어야 한다"(10차 회의) 등 침해 피해 기업에 대해 세 차례 강도 높게 질타했다. 기업 보안 담당자들 사이에선 "침해신고를 한 순간부터 해킹범보다 더한 범죄자 취급을 받는다"는 얘기가 나올 정도다.
결코 기업의 책임이 가볍다는 게 아니다. 다만 이들 기업이 정부의 정보보호 관리체계(ISMS, ISMS-P) 인증을 받았고, 수시로 정부의 관리감독을 받는다면 정부도 책임론에서 벗어나기 힘들다. 정부 제도와 운영 과정에서 허점은 없는지 되짚어 봐야 할 때다. 다행히 과기정통부는 국가 정보보호 체계 개편 작업에 착수했다. 이 대통령의 비판처럼 "소 잃고 외양간 조차 안 고치는" 우를 범하지 않길 바란다.
