굿모닝작전
논란의 출발점은 지난 29일 공개된 과학기술정보통신부 민관합동조사단 조사 결과다. 조사단에 따르면 LG유플러스는 올 7월 해킹 의혹에 관한 ‘공익 신고’가 정부에 접수된 직후인 8월부터 약 한 달에 걸쳐 LG유플러스 서버를 비롯해 하청업체와 연결된 네트워크망까지 일괄적으로 OS 업그레이드 등의 조치를 취했다. 실제 해킹 공격을 받았는지를 증명할 증거가 아예 사라진 것이다. 이에 따라 조사단은 의혹을 받은 서버 등에 대한 정밀 포렌식 분석을 수행하지 못했다.특히 한국인터넷진흥원(KISA)이 침해 사고 정황을 안내하며 증거 보존을 요청한 이후 이 같은 조치가 이뤄졌다는 점이 도마에 올랐다. 조사단은 유출 규모, 침투 경로, 최초 침입 시점 등을 규명할 수 없게 됐다고 밝히며 부적절한 대응으로 판단해 경찰에 수사를 의뢰한 상황이다.
보안업계에서 LG유플러스의 행위에 우려를 나타내는 것은 ‘역(逆)인센티브’가 만연할 가능성이 높기 때문이다. 침해 사고를 즉시 신고하면 행정적·법적 부담이 곧바로 발생하는 반면 신고 지연이나 미신고에 따른 불이익은 상대적으로 약하게 작동한다는 지적이다. 보안업계 관계자는 “성실하게 신고할수록 비용과 부담이 커지고, 신고를 미뤄도 손해가 크지 않다고 인식되면 결국 ‘뭉개기’가 유리하다는 판단이 나온다”고 지적했다.
해외에서는 사이버 침해 사고가 발생했을 때 선제적 신고에 인센티브를 주고, 은폐 행위에는 확실한 벌칙을 가한다. 대표 사례로 언급되는 곳은 우버다. 우버는 2016년 해킹으로 약 5700만 명의 정보가 유출된 뒤 이를 신고하지 않고 해커에게 10만달러를 지급해 사건을 무마하려 했다. 이 사실이 2017년 드러나면서 미국 50개 주 및 워싱턴DC에 1억4800만달러 규모의 합의금을 내야 했다.
민현우 KISA 책임연구원은 “미국은 투자자 보호와 정보의 시의성을 위해 사이버 사고가 기업에 중대한 영향을 미칠 경우 미국 증권거래위원회(SEC)에 4일 이내 신고하도록 요구한다”며 “신고가 장기간 누락되면 제재나 집단소송으로 이어질 수 있다”고 말했다.
정수환 숭실대 전자정보공학부 교수는 “해킹은 앞으로 더 빈번해질 수밖에 없다”며 “사고를 얼마나 빨리 파악하고, 어떤 방식으로 투명하게 대응하느냐가 피해 규모를 좌우한다”고 말했다.
이영애 기자 0ae@hankyung.com
