99만명 개인정보가 유출된 숙박앱 여기어때, 랜섬웨어로 인해 공격자들에게 13억원을 지급할 수밖에 없었던 인터넷나야나 해킹 사건을 겪으면서 개인정보를 다루는 스타트업이나 중소 규모 웹호스팅 기업들에 대해서도 보다 적절한 수준의 대책이 필요하다는 논의가 지속되고 있다.
최근 논의되고 있는 부분은 관계기관에 사이버침해신고가 접수됐을 때 초동조사를 진행하는 단계에서 개인정보유출 관련 부분을 함께 조사할 수 있는 권한이 주어져야 한다는 점과 웹호스팅 사업자들에 대해서도 정보통신망법 상 보다 적정 수준의 법률적 의무 부과가 필요하다는 것이다.
25일 한국인터넷진흥원(KISA) 개인정보대응센터 김주영 센터장은 "사이버침해신고, 개인정보유출신고, 정보주체가 침해를 신고하는 경우 개인정보유출 관련 부분에 대해서 KISA가 직접 초동수사에 참여할 수 있도록 정보통신망법을 개정해달라고 요청 하는 중"이라고 밝혔다.
이전까지 대량 개인정보유출 등 중대한 해킹사건이 발생할 경우 사안에 따라 과학기술정보통신부, 방통위, 경찰, KISA 등으로 구성된 민관합동조사단이 꾸려져 사고원인을 분석하고 대응해왔다.
문제는 이 과정과 병행해 실제 피해가 발생하는 개인정보유출에 대해서는 초동조사가 어려웠다는 점이다.
개인정보보호법 상 유출신고상담의 경우 KISA에 어느 정도 권한이 위임돼 있으나 정보통신망법 상에는 시행령에만 신고상담을 나갈 수 있다는 내용이 포함돼 있어 적극적인 초기 대응이 쉽지 않았다는 설명이다.
이와 함께 인터넷나야나와 같은 중소 규모 웹호스팅 사업자들에 대해서도 적정 수준의 법적 의무사항을 추가로 부과하는 방안에 대해서도 법 검토가 진행 중이다.
관련기사
- 4차산업혁명시대, 개인정보보호 제대로 하려면…2017.08.27
- "4차산업혁명 시대 맞는 개인정보보호 방안 찾자"2017.08.27
- 백기승 원장 “사이버 침해 급증, 새 대응법 필요”2017.08.27
- 인터넷나야나, 랜섬웨어 피해 1차 복호화 마무리2017.08.27
KISA 이동근 침해사고분석단장은 "기존 정보통신망법에서는 법률상 대형 집적정보통신시설 사업자에 대해서만 강력한 보안 규정을 두고 있는데 여기에 해당되지 않는 중소기업, 스타트업들은 모호한 부분이 있어서 관련 법 개정에 대해 검토 중"이라고 설명했다.
앞서 KISA 백기승 원장은 "인터넷나야나 사건처럼 웹호스팅업체들에 대해 KISA가 실제 감독할 권한이 없다"며 "회사 규모로 얼마 이하는 그 대상에서 제외시키다 보니 관리하기 어려운 지점도 있다"며 "법적 집행권한 부여 등을 검토할 때가 아닌가 생각한다"고 밝힌 바 있다.
