“유출 대상자 특정되지 않아도 전체 가입자에게 개별 통지했어야”
정보통신망법 또는 방송통신발전기본법 개정해 재난 경보 체계 활용해야
[방송기술저널 백선하 기자] 국회입법조사처가 이번 유심 해킹 사태와 관련해 SK텔레콤의 대처에 한계가 있었다고 지적한 뒤 관련 법을 개정해 재난 경보 체계를 활용할 수 있도록 해야 한다는 의견을 냈다.
입법조사처는 5월 7일 ‘통신사 해킹 사고 사후 대응의 문제점과 입법과제’ 보고서에서 SK텔레콤이 자사 홈페이지를 통해서만 유출 사실을 알리다가 4월 23일이 돼서야 유심보호서비스 가입에 대한 전체 안내 문자 발송을 시작한 점을 지적하며 “SK텔레콤 해킹 사건에서 기업의 자율적인 대처와 정부의 대응 체계의 한계가 발견됐다”고 꼬집었다.
보고서는 “해킹 사고 발생 후 이른 시일 내에 유출 피해자를 특정하지 못한다면 이는 유출 범위와 내용을 정확히 알지 못하는 것이므로 최악의 시나리오를 가정해야 한다”면서 개인정보보호법을 개정해 개인정보 유출 대상자가 특정되지 않더라도 전체 가입자 등에게 구체적인 상황과 대응 방법을 개별 통지할 것을 주문했다.
또 해킹 사고가 광범위하거나 중대한 위험으로 이어질 수 있다고 판단되는 경우 재난 경보 체계를 활용할 수 있도록 정보통신망법 또는 방송통신발전기본법을 개정해야 한다는 의견도 제시했다. 보고서는 “2022년에 발생한 카카오 서비스 장기간 중단 사태에는 정부가 재난안전법에 근거해 3차례 재난 문자를 발송했으나 이번 SK텔레콤 해킹 피해 사태에서는 이와 같은 조치가 없었다”고 했다.
보고서는 해킹 사고에 대한 정부의 조사 권한을 강화하는 정보통신망법 개정도 강조했다. 현재 과학기술정보통신부를 중심으로 민관 합동 조사단이 사고 관련 자료 제출을 요구하고 조사 중이지만 강제력이 부족한 상황이다.
입법조사처는 “(기업의) 소극적 대응이나 사고 은폐를 방지하고 실효성 있는 조치를 유도하기 위해서는 정보통신망법상 과태료를 상향하거나 이행강제금을 부과하는 등 최소한의 조사 강제력을 강화하도록 법을 개정할 필요가 있다”고 밝혔다.
아울러, 기업이 피해자에 대한 실질적 구제 조처를 하고 피해자가 보상을 쉽게 받을 수 있도록 전기통신사업법, 정보통신망법, 개인정보보호법도 개정해야 하고, 피해자가 개인정보 유출과 피해 간 인과관계를 입증하기 어려울 수 있으므로 개인정보보호법에 인과관계를 추정할 수 있는 규정을 두는 방안을 검토할 것도 주문했다.
