경찰청 사이버수사국이 발표한 사이버범죄 통계자료에 따르면 2014년 정보통신망 침해범죄는 2291건 중 1648건이 해킹, 서비스 거부 공격이 26건, 악성프로그램이 130건에 달했으며 그 중 검거율은 846건에 불과했다. 특히 해킹은 1648건 중 540건만을 검거하여 검거율이 1/3에도 미치지 못했다.
가장 최근 통계를 공유하는 2018년 정보통신망 침해범죄 역시 2888건 중 2178건이 해킹이었고, 그 중 검거율은 584건에 불과했다. 이제는 검거율이 1/4로 더 낮아졌다.
최근 해커들은 킬넷(친러 해커집단)처럼 장기전도 마다하지 않고 특정 표적을 집중 공격하기 때문에 2017년 6월의 악몽, 해커가 요구한 13억을 지불하고만 인터넷 나야나 사건처럼 공격이 시작되면 비극을 정리하기 위해 그들이 협박하며 요구하는 금액을 주기 일쑤이다.
 |
| ▲ [사진=픽사베이 제공] |
정보통신망사업자는 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’(정보통신망법) 제45조에 따라 정보통신망의 안전성 확보 등의 조치를 하여야 한다.
또한 동법 제45조의 2는 정보통신서비스 제공자가 새로이 정보통신망을 구축하거나 정보통신서비스를 제공하고자 하는 때에는 그 계획 또는 설계에 정보보호에 관한 사항을 고려하도록 하고 있고, 제45조의 3은 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리를 위하여 대통령령으로 정하는 기준에 해당하는 임직원을 정보보호 최고책임자로 지정하고 과학기술정보통신부 장관에게 신고해야 한다고 규정하고 있다.
현재는 제45조의 3 정보보호 최고책임자 지정에 대해서만 벌칙이 있을 뿐 제45조와 제45조의 2에 따른 안전성 확보 등의 조치를 하지 않으면 벌칙이 존재하지 않는다.
올해 1월, 특허청과 국가정보원은 최근 5년간 핵심 기술의 해외 유출이 121건에 달하고 피해액이 20조원에 달하자 퇴직 핵심인력을 전문임기에 특허심사관으로 1000여명을 5년간 선발하고자 하였다.
이는 중국의 특허심사협력센터 설립 후 특허심사관을 채용한 것을 참고한 것으로 특허심사관보다 급한 것은 국내 산업보안전문인력(해커)을 핵심 기술이 있는 기업이 고용할 수 있도록 지원하는 것이다. 그러나 그보다 더 시급한 인력은 검거 증거를 찾아내는 전문가의 양성이다.
현재는 정보통신망의 안전성 확보조치라고 하는 의무를 하지 않았을 때 어떤 불이익도 존재하지 않기 때문에 검거율이 낮아지고 있는 이면에는 보안 사고 증거를 찾아내는 전문가의 양성 문제가 지적된다.
암호화 기술은 송수신 데이터를 보호하는 역할을 담당하는 것일 뿐 암호 키를 획득하여 제어권을 탈취하면 데이터 내용들은 즉시 유출될 수 있다. 또한 암호화 기술은 기업에 따라 구매능력에 맞는 것을 선택하였을 것이기 때문에 정부는 적절한 구매인지 아닌지 위기를 판단하기란 쉽지 않다.
그러나 가장 큰 범죄자는 전기라는 말이 있듯이 빠르게 해커를 감지하는 전문인력이 존재하면 네트워크를 분리해 피해 확산을 막을 수는 있다. 현재 정보통신망법은 정보보호 최고 책임자의 지정과 집적된 정보통신시설의 멸실, 훼손, 그 밖의 운영장애로 발생한 피해를 보상하기 위하여 보험 가입을 하도록 하고 있으나 이보다 급한 것은 해킹을 인지할 수 있는 파수꾼인 보안 전문인력의 탐지능력 제고 노력과 빠른 시간 내의 망분리라고 할 것이다.
낮아지는 해커 검거율에 대응하여 기술의 가치가 높을수록 해킹을 사내에서 인지할 수 있는 전문인력의 고용 필수가 정보보호 최고 책임자의 지정보다 덜 중요한 것 같지는 않다.
[박정인 단국대 연구교수·법학박사]
[ⓒ 메가경제. 무단전재-재배포 금지]
