 |
| ▲ |
이해민 의원이 KISA로부터 제출받은 자료에 따르면, 2024년 8월 정보통신망법 개정으로 침해사고 24시간 내 신고가 의무화된 이후 지난 1년간 늑장·미신고 사례가 66건이나 발생한 것으로 드러났다. 일부 기업은 사고 인지 후 수개월, 심지어 1년이 지나서야 신고한 경우도 확인됐다. 과태료가 최대 3천만원에 불과한 현행 제재 수준이 기업들의 신고 회피를 부추기고 있다는 지적이다.
<사이버침해사고 지연신고, 미신고 현황>
구분 | 1일 이내 | 1주 이내 | 1개월 이내 | 6개월 이내 | 1년 경과 | 미신고 | 합계 |
건수 | 10 | 24 | 13 | 15 | 3 | 1 | 66 |
(출처: 한국인터넷진흥원 제출 자료 의원실 재구성)
* 24시간 이내 신고 의무가 시행된 ‘24년 8월14일부터 ’25년 8월까지
또한 최근 5년간 침해사고 신고 건수는 꾸준히 증가했으나, KISA 기술지원 요청 비율은 절반에도 미치지 못하는 것으로 드러났다.
<KISA가 접수한 침해사고 유형별 신고현황>
구 분 | 2021년 | 2022년 | 2023년 | 2024년 | 2025년(~7월) |
DDoS 공격 | 123 | 122 | 213 | 285 | 290 |
악성코드 감염‧유포 | 234 | 347 | 300 | 229 | 149 |
시스템 해킹 | 283 | 673 | 764 | 1,373 | 802 |
합계 | 640 | 1,142 | 1,277 | 1,887 | 1,241 |
(출처: 한국인터넷진흥원)
<침해사고 신고 기업 대비 기술지원 요청 현황>
(단위 : 건)
구 분 | 2021년 | 2022년 | 2023년 | 2024년 | 2025년 (~7월) |
기술지원 기업수(건수)* | 417 (77.5%) | 607 (61.5%) | 907 (84.0%) | 834 (54.4%) | 324 (41.7%) |
침해사고 신고 기업수** | 538 | 987 | 1,079 | 1,532 | 777 |
(출처: 한국인터넷진흥원 제출 자료 의원실 재구성)
* 동일 침해사고에 대한 중복 기술지원 건수는 1건으로 간주
** 침해사고 기업 중복신고 제거
지난해를 기준으로 침해사고를 신고한 기업 1,532곳 중 KISA에 기술지원을 요청한 기업은 834곳(54.4%)에 불과했고, 올해 상반기에는 신고 기업 777곳 중 324곳(41.7%)만이 기술지원을 요청했다. 침해사고 기업이 기술지원을 거부할 경우 KISA는 기업의 협조를 받아 자료제출을 요구할 수 있을 뿐, 현장출입 및 서버점검은 불가한 실정이다.
지난 6월, 예스24 침해사고 당시에도 KISA 분석가들이 두 차례나 예스24 본사로 방문했지만 협조가 이루어지지 않았고, 이틀이 지나서야 뒤늦게 기업이 기술지원을 요청함에 따라 현장출입이 이루어진 바 있다.
이해민 의원은 “24시간 내 신고 의무화는 침해사고에 즉각 대응하기 위한 최소한의 장치인데, 여전히 늑장 신고와 미신고가 반복되고 있다”며 “기업들이 자체 해결을 이유로 KISA 지원을 회피하는 상황에서, 기술지원이 해킹 원인 규명과 피해 확산 방지에 실질적으로 기여하고 있는지도 함께 점검할 필요가 있다”고 강조했다.
이어 “현행법상 기술지원 거부 시 자료제출 의무만 규정돼 있어 KISA의 현장 출입·조사 권한이 부족하다”며 “신속한 대응을 위해 법적 근거를 강화하는 입법 보완이 필요하다”고 덧붙였다.
[ⓒ 세계타임즈. 무단전재-재배포 금지]
