[정보통신신문=박광하기자]

중요 인프라 기업의 사이버침해 사건을 신고할 법적 의무를 강화하는 입법안 고려 의견이 제기됐다.

국회입법조사처(처장 김만흠)는 '바이든 대통령의 사이버보안 강화법 서명의 의미와 시사점'을 다룬 '이슈와 논점' 보고서를 최근 발간했다.

국회입법조사처는 사이버안보 관련 미국의 전통적인 입법의 한계점을 검토한 후, 이를 극복하기 위한 바이든 행정부의 사이버안보 관련 입법 동향을 참고해 한국에의 시사점을 도출하기 위한 것이라고 보고서 발간 목적을 설명했다.

보고서에 따르면, 러시아의 우크라이나 침공에 대한 미국의 경제제재가 길어짐에 따라 러시아의 지원을 받는 해킹 조직이 러시아 경제제재에 동참한 미국 기업과 미국에 대해 보복성 사이버공격을 펼칠 것으로 우려되고 있다.

2022년 3월 15일 미 바이든 대통령은 중요 인프라 기업에 대해 사이버 사건을 보고할 법적 의무를 부과하는 '2022년 미국 사이버보안 강화법'에 서명했다.

이전에는 지침 또는 가이드라인 형태로 기업·대학·연구소의 활동을 규율했다면 우크라이나 사태를 계기로 사이버위협이 증대하면서 미국은 주요 인프라 기업에 대해 해킹 또는 랜섬 지불 시 당국에의 보고 의무를 부과하고, 이를 이행하지 않을 때를 대비해 법적 강제수단을 마련했다.

국회입법조사처는 보고서를 통해, 우리나라도 바이든 행정부의 사이버안보 관련 입법 동향을 참고해, 사이버안보 대응조치를 강화할 필요가 있다고 짚었다.

우선, 한국의 기반시설이 랜섬웨어 공격으로부터 안전하지 않다고 지적했다. 대형 인프라 시설은 전체 링크 가운데 한 부분만 사이버보안에 취약해도 백도어 액세스(back-door access)를 생성해 전체 공급망을 위험에 빠뜨릴 수 있다는 것이다.

사이버공격에 의한 영업비밀 유출에 따른 피해는 국제관계 시각에서 보면 훨씬 더 심각하다는 점도 언급했다. 한 국가가 보유한 경제적·정치적·군사적 자산이 탈취된다는 의미이기 때문이다.

한국도 2022년 2월 24일 국제사회에 러시아 제재동참 의사를 밝혔다. 삼성전자 등은 제품 공급을 중단했다. 또 한국은 러시아만큼 정부 차원에서 많은 해커를 키우는 북한과도 대치하고 있다.

국회입법조사처는 한국의 사이버보안 법체계는 대체로 미국식을 채택하고 있다고 봤다.

'정보통신기반 보호법'은 주요정보 통신기반시설의 장에게 사이버 침해사고를 통지하도록 요구하고 있지만, 그 이행을 강제하기 위해 부과하는 과태료에 관한 규정은 없다.

지난해 1월 15일 시행된 '산업기술 보호지침(산업통상자원부고시 제2021-12호)'에서는 사(私)부문(기업·대학·연구소 등)에 보안 관련 지침을 제공하고, 이를 이행할 것을 권고하고 있다. 주무부처인 산업통상자원부장관은 개선권고를 할 수 있다. 다만 지침은 권고적 성격만 있고, 개선권고는 행정지도에 그치고 있다.

국회입법조사처는 이에 우리나라도 바이든 행정부의 사이버안보 관련 입법 논의를 참고해, 중요 인프라 기업의 사이버침해 사건을 신고할 법적 의무를 강화하는 입법안을 고려해볼 수 있다고 결론지었다.

또한, 영업비밀을 보유한 기업·대학·연구소가 부문별로 합리적인 IT 보안 조치와 절차를 채택·이행하도록 행정부의 스마트 모니터링과 지원을 강화하는 방안을 고려해 볼 수 있다고 제안했다.

박광하 기자 다른기사 보기