"해킹=국민위협"…정부, 직권조사에 과징금 철퇴 천명

김민석 국무총리가 22일 정부서울청사에서 열린 통신사 및 금융사 해킹사고 관련 긴급 현안 점검회의에서 발언을 하고 있다.(사진=연합뉴스)

[세종=이데일리 송주오 기자] 두 자녀의 학원비를 롯데카드로 결제하고 있는 A씨는 최근 서버 해킹 관련 안내문자를 받고 눈을 의심했다. 암호화되지 않은 카드번호부터 비밀번호, CVC와 생년월일, 가상결제코드까지 핵심 정보가 모두 유출됐다는 내용이었기 때문이다. 불안을 느낀 A씨는 우선 카드부터 해지하려했지만, 거듭 재발급 안내로 이어져 분통을 터트렸다. A씨는 “유출된 정보만 모아도 내 명의의 복제 카드를 만들어 어디서든 결제가 가능한 수준인데 카드 해지조차 제때 할 수 없으니 답답하다”고 했다.

SK텔레콤의 유심 정보 유출사고부터 KT의 소액 결제 사고, 롯데카드의 서버 해킹 사고까지. 삶에서 가장 가깝고 밀접한 서비스에 연달아 구멍이 뚫리며 정부가 강한 제재를 예고하고 나섰다. 그간은 기업이 신고해야만 조사가 가능했지만 앞으로는 정부가 직권으로 조사에 나서도록 하겠다는 방침이다.

특히 최근 발생한 롯데카드의 서버 해킹 사고의 경우 A씨처럼 핵심 정보가 모두 유출된 인원은 무려 28만명에 이른다. 특히 롯데카드 측은 애초 1.7GB(기가바이트) 분량의 정보만 유출됐다고 밝혔으나 금융감독원과 금융보안원의 합동조사 결과 피해 규모가 100배 이상인 200GB로 나타나 뭇매를 맞았다. 보안 업계 등에서 보안 관련 모니터링부터 통제까지 부실했다는 지적이 잇따르자 정부 차원의 강력한 조치가 필요하다는 목소리 역시 커지고 있다.

‘국민에 대한 위협’ 규정…엄중 처벌 강조

김민석 국무총리는 22일 정부서울청사에서 ‘통신사 및 금융사 해킹사고 관련 긴급 현안점검 회의’를 주재하며 일련의 해킹 사고에 대해 “국민에 대한 위협”이라며 “연이은 해킹 사고가 안일한 대응 때문은 아닌가 하는 점을 깊이 반성하고 전반적인 점검을 해야 할 때라고 생각한다”고 했다.

정부는 최근 통신과 금융사 등에서 해킹 사고가 연이어 발생한 점을 우려하고 있다. 경제와 사회를 지탱하는 근간이자 국민이 일상에서 사용하는 필수 서비스이기 때문이다. 특히 개인정보, 재산 등과도 밀접하게 연관돼 있다.

정부에 따르면 SK텔레콤의 유심정보 유출과 KT 무단 소액결제 사건으로 현재까지 362명의 이용자가 약 2억 4000만원의 피해를 입었다.

연이은 해킹 사고가 국민에 대한 위협이라는 김 총리의 발언은 사회 안전망을 중시하는 이재명 정부의 철학과도 맞닿아 있다. 이재명 대통령은 주식시장 교란 행위와 중대재해사고와 관련 ‘엄중 처벌’을 여러 차례 강조했다. 국민의 기본적인 삶과 경제적 기반을 무너뜨리는 행위에 가차없는 형벌로 대응하겠다는 원칙을 제시하면서다.

해킹사고 증가세…정부 “신고 없어도 직권 조사”

정부는 앞으로 이 같은 해킹사고에 보다 적극적으로 나설 방침이다. 김 총리는 “정부는 유사한 해킹 사고가 발생하지 않도록 통신·금융권 정보보호 체계를 전면적으로 재정비해 나가겠다”면서 “기업의 신고가 있어야만 조사가 가능했던 그간의 상황을 직권으로 조사할 수 있도록 조사 권한도 강화하겠다”고 했다.

특히 김 총리는 “사업자의 은폐·축소 의혹이 제기되고 있는 데 대해 문제가 없는지 밝히겠다”며 “문제가 있다면 분명하게 책임을 묻겠다”고 언급하기도 했다.

정부의 이같은 결정 배경은 해킹 사고 증가와 연관이 있다. 국회 과학기술정보방송통신위원회 소속 이상휘 국민의힘 의원이 한국인터넷진흥원(KISA)으로부터 제출받은 자료에 따르면 KISA에 신고한 국내 기업의 정보 침해 건수는 2021년 640건에서 2022년 1142건, 2023년 1277건으로 해마다 증가했고, 2024년 1887건으로 2021년보다 약 3배 가까이 늘었다.

하지만 KISA에 기술지원을 요청한 비율은 절반도 되지 않는다. 지난해 침해사고를 신고한 기업 1532곳 중 KISA에 기술지원을 요청한 기업은 834곳(54.4%)에 불과하다. 올해 상반기에는 신고 기업 777곳 중 324곳(41.7%)만이 기술지원을 요청했다. 침해사고 기업이 기술지원을 거부하면 KISA는 기업 협조를 받아 자료제출을 요구할 수 있을 뿐 현장 출입과 서버 점검은 불가능하다.

징벌적 과징금 추진…롯데카드 과징금 최대 800억

해킹 사고 기업에 대한 징벌적 과징금도 추진한다. 이날 회의 참석자들은 보안의무 위반 시 과징금 등 제재수단을 강화해야 한다고 한목소리를 냈다. 롯데카드의 경우 최대 800억원의 과징금을 부과받을 수 있다는 전망이 나온다.

신용정보법상으론 과징금 한도가 50억원이지만, 개인정보보호법에선 전체 매출의 최대 3%까지 과징금을 부과할 수 있기 때문이다. 롯데카드의 작년 매출은 2조 7000억원 규모로 개인정보보호법에 근거하면 최대 800억원대의 과징금을 물을 수 있다. 지난 4월 고객 2300만명의 개인정보 유출로 논란이 된 SK텔레콤은 개인정보보호법 위반으로 매출의 1% 수준인 1300억원대 과징금이 부과받았다.

롯데카드 서버 해킹 피해자들의 움직임도 본격화하고 있다. ‘롯데카드 개인정보 유출 집단소송 카페’에 따르면 소송 참여 의사를 밝힌 회원수는 5700여명에 달한다.

김 총리는 “피해를 입으신 분들이 불편을 겪지 않도록 모든 피해 구제 조치를 강구하겠다”라며 “현재까지 파악된 피해 경로 외 다른 경로에서 숨겨진 피해자가 없는지도 확인하겠다”고 강조했다.