매일 경제

(서울=연합뉴스) 조현영 기자 = 최근 일어난 SK텔레콤[017670] 해킹 사고 같은 사이버 침해 사고를 예방하기 위해 이동통신사의 정보보호 예산을 관련 예산의 일정 비율 이상으로 의무화해야 한다는 국회입법조사처 지적이 나왔다.

입법조사처는 21일 이 같은 내용의 '이슈와 논점' 보고서를 발간했다.

입법조사처는 2012년과 2014년 KT[030200], 2023년 LG유플러스[032640] 해킹 사고에 이어 지난 4월 SKT 해킹 사고까지 이동통신사 대상 해킹 사고가 반복되고 있음을 지적하면서, 해킹이 통신망 장악이나 마비로 이어질 경우 대규모 개인정보 유출을 넘어 국가적 사이버 안보 위협으로 확산할 수 있다고 강조했다.

이에 따라 이동통신사의 정보보호 투자 확대를 유도하기 위해 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'(정보통신망법)을 개정하는 방안을 제시했다.

SK텔레콤은 지난해 정보보호 분야에 본사 600억원, 자회사 SK브로드밴드 267억원 등 총 867억원을 투자한 것으로 나타났는데, 이는 경쟁사 KT(1천218억원)보다 적은 금액이라며, 정보통신망법에 정보보호 예산이 정보기술부문 예산의 일정 비율 이상이 되도록 노력할 의무를 명시하는 방안을 고려할 수 있다고 입법조사처는 설명했다.

그러면서 금융위원회 고시 '전자금융감독규정'은 종전에 금융회사 또는 전자금융업자가 정보보호예산을 정보기술부문 예산의 100분의 7 이상이 되도록 노력할 의무를 규정하고 있었지만, 금융권의 자율보안 역량 강화를 위해 정보기술 및 정보보호 분야별 전문 인력과 충분한 예산을 확보하도록 의무화하는 방식으로 2025년 2월 개정된 바 있다고 부연했다.

정보통신망법을 개정해 이동통신 등 보안 관련 고위험 산업군에 대해 강화된 인증 기준을 적용할 필요성도 언급했다.

입법조사처는 정보통신망법을 개정해, 이동통신 등 보안 관련 고위험 산업군에 대해 강화된 인증 기준을 적용하고, 중대한 법령위반 시 인증을 취소할 수 있는 근거와 과징금 부과 근거를 마련하며, 매년 1회 이상 실시하는 인증기관의 사후심사 시 현장심사를 강화할 필요가 있다고 지적했다.

주요정보통신기반시설의 지정 범위를 확대하는 것도 방안이 될 수 있다.

이번에 해킹된 서버가 주요정보통신기반시설에서 제외됐기 때문이다.

입법조사처는 정부에 이동통신사 핵심 서버 등이 주요정보통신기반시설 지정 대상에서 누락되지 않도록 주요정보통신기반시설의 지정 범위를 확대해야 한다고 지적하면서, 이동통신 등 고위험 산업군에 대해서는 현행 '정보통신기반 보호법 시행령'에서 관리기관이 선정한 지정단위 및 세부시설에 대해 자체평가를 수행하고 필요시 관계전문가로 구성된 협의회에서 심의할 수 있도록 규정한 것을 의무화하는 방향으로 법령을 개정할 필요가 있다고 설명했다.

hyun0@yna.co.kr(끝)