SK텔레콤 핵심 통신망이 해킹당한 사태를 계기로 통신 인프라 보안에 대한 제도적 대응이 미비하다는 지적이 잇따르고 있다. 특히 대규모 유출 사고가 발생했음에도 통신사와 정부의 대응이 불투명하거나 늦장에 머물렀던 것은 현행 법·제도에서의 허점을 그대로 드러낸 결과라는 분석이다. 국회 입법조사처는 7일 ‘통신사 해킹사고 사후 대응의 문제점과 입법 과제’ 보고서를 내고 국민의 통신주권과 정보주체권을 지키기 위해 입법 보완이 시급하다고 소개했다.
우선 시급히 손봐야 할 분야는 정보 유출 통지의무 강화다. 현행 「개인정보 보호법」은 유출 사실을 72시간 내 통지하도록 규정하고 있지만, 유출 대상이 특정되지 않을 경우 홈페이지 공지만으로도 법적 요건을 충족하게 된다. 이번 SKT 사태에서도 이 규정을 이용해 통신사 측은 수일간 개별 통지를 하지 않거나, 모호한 표현으로 일관했다. 보고서는 “대상자가 특정되지 않더라도, 유출 가능성이 있는 전체 가입자에게 개별 통지를 의무화해야 한다”고 강조하며, 유출 항목·예상 피해·피해예방 조치 등 구체적 정보를 포함한 ‘실질적 통지’로 법 조항을 개정해야 한다고 지적했다.
또 다른 과제는 정부의 재난 대응 경보 체계와 조사 권한 강화를 위한 법 개정이다. 이동통신망 해킹은 본질적으로 국민 생활 기반시설의 마비를 초래할 수 있는 사이버 재난에 해당하지만, 현행 「재난안전관리기본법」과 「방송통신발전기본법」은 통신사고를 명시적 재난으로 규정하지 않고 있다. 그 결과 정부는 대국민 경보 없이 상황을 기업 주도로 관리하며 관망하는 데 그쳤다. 이에 따라 법률상 통신 인프라 해킹을 ‘정보통신 재난’ 범주에 포함시키고, 정부가 신속히 경보를 발령하며 긴급대응 체계를 가동할 수 있도록 하는 법적 기반이 시급하다는 것이다.
세 번째로는 정부의 조사권 강화와 사업자의 책임 확대가 필요하다. 현행 정보통신망법은 해킹 사고 발생 시 사업자에게 관련 자료를 제출하도록 요청할 수 있지만, 미이행에 따른 처벌은 1천만 원 이하의 과태료에 그친다. 보고서는 이를 ‘형식적 조사권’에 불과하다고 평가하며, 강제 제출 의무와 이행강제금 도입을 포함한 실질적 조사 권한 부여가 필요하다고 강조했다. 이는 사업자의 자발적 협조에 의존해 사고가 은폐되거나 축소되는 것을 막기 위한 최소한의 안전장치다.
보고서는 마지막 과제로 피해자 보호 및 보상 기준의 법제화를 꼽았다. SKT는 유심 무상교환 및 일부 보완책을 발표했지만, 실제 유출 항목에 따른 구체적 피해 보상이나 위약금 면제 등 실질적인 보상 기준은 마련돼 있지 않다. 보고서는 유심 무상교체, 부가서비스 요금 감면, 신원 도용 피해 발생 시 입증책임 완화 등 다양한 보호 조치를 제도화할 것을 제안했다. 특히 「개인정보 보호법」을 개정해 개인정보 유출과 손해 사이의 인과관계를 ‘추정’할 수 있도록 규정함으로써 피해자 권리를 현실화해야 한다는 것이다.
이번 SKT 해킹 사고는 단지 한 통신사의 보안 실패가 아니라, 국가 핵심 인프라 전체가 무방비로 노출됐음을 보여주는 경고 신호였다. 입법조사처는 “이제 기업의 ‘사후 대처’에만 의존할 수 없는 시대”라며 “초유의 사고가 반복되지 않기 위해선 입법을 통한 구조적 대응이 필요하다”고 제언했다.