사이버 침해 사고를 당하고도 제때 신고하지 않은 기업이 ‘66곳’에 이르는 것으로 드러났다. 무려 1년이 넘도록 침해 사실을 신고하지 않은 기업도 있었다. 사이버 침해 사고는 개인정보 유출과 동반할 가능성이 높다는 점에서 치명적이다. 신고가 늦어질수록 고객 피해도 덩달아 커질 수 있다. ▶관련기사 12면

현재 과학기술정보통신부(과기정통부)는 문제가 된 기업에 대해 행정처분 절차를 진행 중이지만 과태료는 ‘3000만원’에 불과한 실정이다. 이 때문에 실효성 있는 대책 마련이 시급하다는 지적이다.

16일 헤럴드경제가 이해민 조국혁신당 의원실을 통해 입수한 ‘사이버 침해 늑장 신고 및 미신고 기업리스트’를 종합한 결과, 사이버 침해 사고 시 24시간 내 신고 의무를 지키지 않은 기업이 66곳이나 무더기로 확인됐다.

지난 8월 13일 개정된 ‘정보통신망 이용 촉진 및 정보보호 등에 관한 법(정보통신망법)’에 따라 정보통신서비스 제공자는 침해사고 시 24시간 이내에 정부에 신고해야 한다.

해당 기업들은 ‘사고 인지’ 시점과 ‘신고 시점’ 사이에 시간 차가 커 ‘늑장 신고’가 심각한 수준으로 나타났다. 구체적으로 ▷5일 이내(25곳) ▷한 달 이내(22곳) ▷3개월 이내(12곳) ▷3개월 이상(7곳) 등으로 집계됐다.

일례로 A 기업은 무려 ‘1년’이 지나고서야 한국인터넷진흥원(KISA)에 사이버 침해 사실을 신고했다. B와 C 기업도 각각 4개월 10일, 4개월 27일 동안 침해 사실을 신고하지 않았다.

잇달아 개인정보 유출 사고가 발생한 통신사 역시 ‘늑장 신고’ 논란이 이어지고 있다.

최근 5년간 디도스(DDoS), 악성코드 감염·유포, 시스템 해킹 등 사이버 침해 사고가 연간 ‘1000건’을 훌쩍 넘는 게 현실이다. ▷2021년 640건 ▷2022년 1142건 ▷2023년 1277건 ▷지난해 1887건 ▷올해 7월까지 1241건 등으로 집계됐다.

현행 정보통신망법 상 유일한 벌칙 조항은 ‘과태료 3000만원’에 불과하다. 솜방망이 처벌이라는 비판이 제기되는 이유다. 이에 전문가들은 기업의 참여를 유도할 수 있는 방향으로 패널티 조항을 마련하고 인센티브도 적극적으로 고려해야 한다고 지적했다.

권태경 연세대학교 정보대학원 교수는 “중대 사고를 빠르게 신고한 기업에는 인센티브를 주고, 제때 신고하지 않은 기업은 징벌적으로 처벌해 기업들이 해킹 사고에 능동적으로 대처하도록 해야 한다”고 말했다.

이해민 조국혁신당 의원은 “사이버 침해사고는 즉각 대응이 중요한데, 24시간 이내 신고가 의무화된 이후에도 늑장 신고와 미신고 사례가 다수 확인되고 있다”고 말했다.

고재우·권제인 기자