[기자수첩] 해킹 예방만큼 중요한 사후 대응

[한국금융신문 강은영 기자] 최근 국내 주요 기업들이 ‘해킹 쇼크’에 빠졌다. 통신사와 신용카드사에 이어 국민 대다수가 이용하는 대형 유통사에서도 사고가 발생했다.

국가데이터처(옛 통계청)가 발표한 자료에 따르면, 지난 2024년 사이버 침해사고 신고 건수는 1887건으로 2023년(1227건) 대비 47.8%나 급증했다. 같은 기간 사이버 침해 범죄(정보통신망 침해 범죄) 발생 건수도 4526건으로 2023년(4223건) 대비 7.2% 늘었다.

해커의 전술은 빠르게 발전하고 있어 해킹 사고를 피하기가 어렵고 원인 파악도 쉽지 않다. 해커들의 배후 국가도 다양해 추적이 쉽지 않을 뿐만 아니라 중소기업들은 해킹 사실조차 인지하기 어려워지고 있다.

이처럼 갈수록 교묘해지고 지능화되는 사이버 보안 환경을 고려할 때 사고 후 '어떻게' 대응했는지 살펴야 한다는 목소리가 나오고 있다. 해킹 사고가 발생했더라도 기업의 사후 대응이 천차만별이고, 완벽한 방어가 사실상 불가능한 현실에서 사고 발생 후 기업이 어떻게 대응했는지 주목해야 한다는 것이다.

그 판단기준은 무엇일까. 먼저, 해킹 상황을 발견하는 즉시 유관 기관 신고 후 투명한 공개를 통해 확산을 차단했는지 확인해야 한다. 사고 후에는 피해 최소화를 위한 고객 보호조치에 최선을 다했는지, 끝까지 변명으로 일관하고 사후 조치를 시행하지 않았는지 살펴볼 필요가 있다.

정보 유출 후 실제 고객 피해로 이어졌는지도 확인해야 한다. 최고경영자가 원인, 영향 등 문제 파악에 총력을 다하고 사태를 명확히 이해하고 공개 소통했는지 봐야 한다.

송경희 개인정보보호위원회 위원장도 한 언론사와의 인터뷰에서 “신속한 신고와 적극적인 피해구제 조치를 이행한 기업에는 과징금 감면 등 인센티브를 부여하는 방안을 검토 중”이라고 밝힌 적 있다.

같은 해킹이라도 조기 탐지와 차단, 선제적 모니터링을 통해 실제 고객 피해가 없게끔 막아낸 경우와 방치 끝에 대규모 금전, 신용 피해로 번진 경우는 책임의 무게가 다를 수밖에 없다. 제재와 평가는 이 '실제 피해 수준'과 피해 확산을 막기 위한 노력의 정도를 반영해야 한다.

실제 지난해 해킹사고가 발생한 기업들의 대응을 보면, 차이가 존재한다. 롯데카드는 현재까지 해킹으로 인한 부정사용 시도나 실제 피해 사례가 발생하지 않았다. 반면, 한 통신사는 약 2억원의 소액결제 피해가 확인됐다.

롯데카드는 사고 인지 후 선제적이고 즉각적인 고객 보호 조치에 나서 업계에서 ‘모범사례'로 평가받고 있다. 고객 불안 해소와 잠재 리스크 차단에 경영 자원과 예산을 집중했다. 24시간 전사 비상대응체계를 가동하고, 국내외 의심 거래를 실시간 모니터링했다.

해킹을 당했다는 사실만으로 같은 잣대로 처벌한다면, 앞으로 누가 먼저 신고하고, 고객 피해 방지에 최선을 다할 수 있을까. 이는 안전을 악화시키는 길이나 다름없다. 해킹 사태의 재발방지를 위해 향후 기업들이 어떤 자세를 취할지 감독당국은 물론 정부차원에서 고민해 봐야 한다.

강은영 한국금융신문 기자 eykang@fntimes.com