[심층진단] 사이버범죄 근절 팔걷어 부쳤다

[심층진단] 사이버범죄 근절 팔걷어 부쳤다 정보통신 기반보호법 제정등 배경·내용 최근 해킹이나 바이러스 유포 등 사이버 범죄가 급속하게 늘어나고 있다. 이에 따라 막대한 경제적 피해는 물론 국가안보마저 심각한 위협을 받는 상황이다. 정보통신부는 이 같은 사이버테러로부터 국가의 주요 정보통신시설을 보호하기 위해 '정보통신기반보호법'을 제안, 국회 과학기술 정보통신위원회의 의결을 받았다. 관련기사 이에 따라 내년 7월 1일부터 해킹이나 컴퓨터 바이러스를 유포, 주요 정부통신 기반시설을 교란ㆍ마비ㆍ파괴시킬 경우 10년 이하의 징역이나 1억원 이하의 벌금이 매겨진다. 또 주요정보통신기반시설을 보호하기 위해 국무총리 직속으로 정보통신기반보호위원회를 설치하는 등 범정부적인 대응체제를 구축키로 했다. 이와 함께 인터넷서비스 사업자에게 개인정보 보호의 의무를 강화하는 법률도 마련됐다. 과기정보통신상임위는 '정보통신이용촉진 등에 관한 법률'을 개정, 개인정보를 사고파는 행위를 엄격히 제한키로 했다. 또한 정보통신서비스제공업체의 제휴ㆍ인수합병에서 발생할 수 있는 개인정보의 불법적 사용을 막기위해 정보보호 책임자를 선임토록 규정하는 한편 법적 책임소재를 분명히 하도록 했다. 정보통신기반보호법과 개정된 정보통신이용촉진 등에 관한 법률의 의미와 실효성 등에 대해 전망해 본다. ◇급증하는 사이버 범죄ㆍ개인정보 유출 최근 해킹 등 사이버 범죄가 급증해 막대한 경제적인 피해가 발생하는 것은 물론 국가안보까지 심각하게 위협받고 있다. 한국정보보센터에 따르면 올해 8월말까지 신고된 해킹사례는 1,238건으로 지난해 같은 기간보다 4배이상 폭증하고 있다. 그러나 이는 신고된 것에 불과하다. 실제 해킹시도 사례는 수십만 건에 달하는 것으로 업계에서는 추정하고 있다. 지난 7월에는 국내 200여개 서버를 한꺼번에 공격한 사상 최대규모의 해킹시도가 민간기업에 의해 사전에 발견돼 충격을 주기도 했다. 컴퓨터 바이러스도 창궐하고 있다. 특히 전파력이 높은 이메일 바이러스가 기승을 부리고 있다. 지난해 20만대의 PC를 먹통으로 만든 체르노빌바이러스보다 강력한 바이러스가 출현한 것. 올해에만도 러브ㆍ조크ㆍ나비다드ㆍ로미오와 줄리엣 등 이름만 들어도 지긋지긋한 바이러스가 잇따라 등장했다. 이들 바이러스는 이메일을 통해 전파됨에 따라 마치 페스트처럼 순식간에 확산되고 있다. 특히 최근에는 첨부파일을 열지 않아도 감염되거나 네트워크를 통해 전파되는 등 파괴력도 점점 높아지고 있다. 바이러스 백신전문업체인 안철수연구소에 따르면 올 상반기동안에만 날마다 2개의 바이러스가 새로 생겨나고 있다. 경제적인 피해도 갈수록 커지고 있다. 미국의 리서치 업체인 인포메이션위크는 미국의 5만개기업이 컴퓨터바이러스와 해킹으로 입은 피해는 2,660억달러에 달할 것이라는 내용의 보고서를 내놓은 바 있다. 이는 미국 국민총생산의 2.5%에 달하는 것. 특히 전세계적으로는 연간 1조5,200억달러의 손실이 발생한 것으로 추정되고 있다. 상황이 심각한데도 그동안 제대로 된 대응책은 없었던 게 현실. 민간기업의 경우 정보보호의 중요성에 대한 인식이 낮은데다 예산부족을 이유로 사실상 방화벽이나 침입탐지시스템 같은 안전장치를 갖추는 것을 포기했다. 정부 또한 민간 정보보호업체와 손발이 맞지 않는 문제점을 노출시켜왔다. 또 인터넷서비스 이용자들이 1,600만명을 넘어서면서 개인정보의 불법이용도 늘고 있다. 정보통신부는 올해에만도 정보통신부가 과태료를 부과하거나 시정명령을 내린 정보보호위반 사례만 270여건에 달한다. 특히 인터넷서비스사업자간 제휴나 인수합병이 점차 늘어나면서 개인정보가 불법적으로 사용될 가능성이 더욱 높아지고 있는 상황이다. 그러나 개인정보 불법사용에 대한 처벌이 가벼워 '솜방망이'라는 지적을 받고 있다. ◇정보통신기반보호법 신설과 정보통신이용법 개정 의미 사이버 테러가 기승을 부렸지만 그동안 이를 제어할만한 법적장치가 없었다. 이번에 국회 과학기술정보통신위원회를 통과한 정보통신기반보호법(보호법)은 발가벗은 것이나 다름없었던 국내 정보보호 대응시스템에 중요한 기초를 제공한 것으로 평가된다. 보호법의 핵심은 국가 주요정보통신 시설을 보호하자는 것. 주요 시설을 관리하는 기관장은 시설을 안전하게 보호하기 위한 대책을 수립ㆍ시행하도록 규정하고 있다. 이 가운데 관심을 끄는 것이 범정부차원의 사이버테러 대응체계를 구축하기 위해 국무총리 산하에 마련하는 정보통신기반보호위원회. 위원회에서는 주요 정보통신기반시설 보호정책을 조정하고 취약점 분석ㆍ평가, 주요 정책사항을 심의하게 된다. 위원회는 25명으로 구성되며 위원장은 국무총리가 맡고 위원으로는 대통령령이 정하는 중앙행정기관의 장과 위원장이 위촉하는 사람으로 구성된다. 또 보호법에서는 사이버 테러에 대한 처벌규정도 대폭 강화했다. 종전에는 사이버테러에 대해 유관법률을 적용, 5년 이하의 징역이나 1,500만원 이하의 벌금을 부과할 수 있었지만 정보통신기반보호법에서는 이를 10년 이하의 징역이나 1억원 이하의 벌금으로 바뀌었다. 특히 미수범이나 해당기관 종사자가 기밀을 누설했을 경우에서 처벌할 수 있도록 했다. 특히 취약점분석 및 보호대책마련을 위해 정보보호센터와 정보보호전문업체를 지정할 수 있도록 해, 관련 시장이 크게 성장할 것으로 예상된다. 또 정보통신이용촉진등에 관한 법률이 개정돼 '개인정보 보호규정'이 강화됐다. 이로써 앞으로 정보통신 서비스제공업자는 개인정보 관리책임자와 취급자를 반드시 지정해야 하며 위탁이나 양수도 때도 개인정보보호 책임을 지도록 했다. 이로써 서비스업체가 개인정보를 위탁이나 양수도 할 때는 이용자에게 이 사실을 고지해야 하며 개인은 이에 대해 동의ㆍ철회ㆍ열람ㆍ정정ㆍ삭제 등을 요구할 수 있게 됐다. 또 14세 미만의 어린이는 법정대리인이 권리를 행사할 수 있고 이용자의 동의 없이 개인정보를 거래하거나 양수도 할 수 없도록 명시했다. 특히 처벌규정도 강화, 개인정보 취급자가 개인정보를 훼손ㆍ침해ㆍ무단이용하거나 누설하면 7년이하의 징역이나 7,000만원 이하의 벌금에 처하도록 규정했다. ◇과제 정보통신기반보호법은 국가나 민간의 주요시설에만 적용된다. 국가안보렷旋ㅇ국방렬±활? 금융렴戮킹운송렛〕恪? 등의 기간업무를 수행하는 곳이 주된 대상. 따라서 수많은 민간기업이 해당되지 않는다. 해커들은 보안장치가 허술하거나 아예 없는 곳을 애용한다. PC방이 해킹경유지로 애용되는 것도 이 때문이다. 이 법은 보안의식이 낮거나 예산부족으로 해킹방지시스템을 갖추지 못한 민간기업을 아우르지는 못한다. 민ㆍ관을 포괄하는 체계적인 사이버테러 대응책 마련이라는 숙제는 고스란히 남게 된 것이다. 또 민간 정보보호 전문업체에 국가 주요전산시설에 대한 취약점 분석을 맡길 경우 발생할 수도 있는 또 다른 정보유출 문제에 대한 대비책도 마련해야 한다는 지적이다. 해커가 정보보호업체를 침입, 국가 기밀을 빼내갈 수도 있기 때문이다. 정보통신이용법 또한 '인터넷 내용 등급제'가 논란 끝에 빠져 인터넷을 이용한 저질 음란물의 확산을 방지하는 것은 여전히 과제로 떠안게 됐다. 이에 따라 청소년들을 음란물로부터 보호하는 또 다른 대책 마련이 시급해졌다. 문병도기자