'CEO 해임카드' 빼든 정부…"기업에만 책임 떠넘기나"

정부가 기업들의 반발이 예상됨에도 전체 상장사를 대상으로 정보보호 공시 의무화라는 ‘초강수’를 내놓은 것은 해킹이 범국가적 이슈로 떠오르고 있기 때문이다. 인공지능(AI) 기술이 더해지면서 글로벌 해커 집단의 위력은 갈수록 강해지는데 기업의 보안 투자는 여전히 뒷전으로 밀려 있다는 것이 정부의 판단이다. 강도 높은 벌칙을 부과해서라도 기업 보안에 대한 인식을 끌어올리겠다는 목적인데 산업계에선 보안 사고의 책임을 기업에만 지우려는 것 아니냐는 불만이 나온다.

◇보안책임자에게 IT 통제권 부여

보안 전문가들은 최근 잇따른 보안 사고를 거대한 ‘해킹 쓰나미’의 전조 현상이라고 입을 모은다. 지난 4월 일어난 SK텔레콤의 유심(USIM) 정보 해킹 사고에 이어 KT의 불법 기지국(펨토셀)을 통한 무단 소액결제 범죄, 롯데카드 이용자 정보 탈취 등의 사고가 연달아 발생하며 국내 대표 기업들의 보안 구멍이 고스란히 드러났다. 7월엔 행정안전부의 ‘온나라시스템’까지 뚫렸다. 보안업계 관계자는 “SK텔레콤 보안 사고는 수년 전에 해커들이 심어놓은 악성 코드가 이제야 발견된 것”이라며 “민간 업체들은 그나마 자진 신고를 하게 돼 있어 늦더라도 문제가 발견되지만 정부 쪽은 심지어 국방 분야도 이미 대부분 정보가 털렸다는 게 정설”이라고 지적했다.

이 같은 문제를 해결하는 방안으로 정부는 기업에 대한 ‘채찍’을 꺼내 들었다. 정보보호 공시 의무 대상을 2700여 개 전체 상장사로 확대한 것이다. 정보보호산업의 진흥에 관한 법률 제13조 제2항 및 시행령 제8조에 따르면 현재 정보보호 공시 의무 대상은 매출 3000억원 이상인 유가증권시장 및 코스닥시장 상장사, 하루 평균 이용자 100만 명 이상인 플랫폼 기업이다. 여기에 기간통신사업자, 클라우드컴퓨팅 서비스 제공자, 집적정보통신시설 사업자, 상급종합병원 등 주요 정보통신 기반 서비스 기업이 포함돼 있다. 최고경영자(CEO)와 보안최고책임자(CISO·CPO)의 책임도 커졌다. 증거 인멸, 늑장 신고 등 보안 사고에 CEO의 책임이 크다고 판단되면 해임까지도 이뤄질 수 있다는 게 정부 입장이다. 이와 함께 CISO가 CEO의 허가 없이 모든 정보기술(IT) 자산에 대한 통제권을 부여할 수 있도록 하는 내용을 법령에 담기로 했다.

◇“정보보호 예산 7.7% 늘릴 것”

이 같은 정부의 초강수에 업계에선 취지엔 공감하지만 지나치게 처벌 위주라는 우려의 목소리가 나오고 있다. KT의 보안 사고만 해도 재발 방지를 위한 대책이나 사고의 책임 소재를 명확하게 하기도 전에 CEO 거취 문제부터 거론되고 있다. 정부가 금융·통신 등 1600여 개 IT 시스템을 대상으로 대대적인 보안 취약점 점검을 즉시 추진한다고 밝힌 것도 논란이다. 모의해킹 방식이 아니라 운영 중 ‘불시 점검’을 통해 보안 상태를 들여다보겠다는 것이 정부의 구상이다.

배경훈 부총리 겸 과학기술정보통신부 장관은 이날 “기업이 신고하기 전에 미리 직권조사를 실시해 사전에 피해를 막겠다는 의도”라며 “현재 인력으로도 1600개 기업을 점검하기에는 충분하다”고 말했다. 정보보안 사고 조사 방식도 바꾼다. 류제명 과기정통부 2차관은 “지금까지는 사고가 발생한 서버 위주로 침투 경로를 파악했지만 앞으로는 인터넷이 연결된 모든 망과 서버를 100% 전수 조사하겠다”고 했다. 배 장관은 “내년 정보보호 투자 예산을 7.7% 확대한 4012억원으로 편성하겠다”며 “정보보호 공시 의무 대상이 늘어난 만큼 기업들의 세제지원 등 인센티브를 부여할 방법에 대해 종합대책을 수립할 것”이라고 설명했다.

최지희 기자 mymasaki@hankyung.com