"줄잇는 통신사 해킹 의혹, 당국과 통신사 간 엇갈리는 입장"

최근 SK텔레콤에 이어 KT와 LG유플러스가 올해 상반기까지 해킹을 당했다는 정황이 드러났다.

이와 관련해 과학기술정보통신부와 한국인터넷진흥원(KISA)이 현장 조사에 착수했으나, 통신사들이 해킹 사실을 부인하며 당국의 조사에 난항이 예상된다.

글로벌 해킹 전문지의 보도와 통신사들의 반응

이번 사태는 글로벌 해킹 전문지 '프랙 매거진'의 보도를 통해 외부에 알려졌다. 익명의 화이트해커들이 'KIM'이라는 공격자로부터 확보한 한국 기관·기업 유출 데이터에 KT와 LG유플러스의 자료가 포함된 것으로 나타났다.

LG유플러스의 경우, 내부 시스템 소스코드와 직원 및 협력사 계정 정보가 유출되었으며, KT는 인증서(SSL 키) 유출 정황이 확인되었다.

그러나 양사는 이러한 보도 내용에 대해 '사이버 침해 사실이 없다'는 입장을 고수하고 있다.

류제명 과기정통부 2차관 역시 국회에서 "두 통신사 모두 사이버 침해 사실이 없다고 보고했다"고 밝힌 바 있다. 이는 당국의 조사 결과와 통신사들의 주장이 상충될 가능성을 시사한다.

정보통신망법상 '자진 신고'의 한계

현행 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) 제48조의3 제1항은 정보통신서비스 제공자가 침해사고 발생 시 즉시 이를 당국에 신고하도록 규정하고 있다.

그러나 해당 법률은 기업의 자진 신고를 전제로 하고 있어, 기업이 침해 사실을 부인할 경우 당국의 현장 조사 권한이 제한될 수 있다는 한계가 있다.

이러한 법적 공백은 대규모 해킹 사고가 발생하더라도 신속한 대응을 어렵게 하고, 피해 확산 방지에 걸림돌로 작용할 수 있다.

향후 법적 쟁점과 개선 방향

만약 조사 결과 통신사들의 해킹 사실이 확인될 경우, 정보통신망법 위반에 따른 법적 책임이 제기될 수 있다. 통신사는 개인정보 보호를 위한 기술적·관리적 조치를 다하지 않았다는 이유로 손해배상 책임에 직면할 수도 있다.

다만, 법원은 해킹 사고의 특수성을 고려하여 기업의 손해배상 책임을 엄격하게 판단하는 경향이 있어, 향후 법적 공방이 치열하게 전개될 것으로 예상된다.

이번 사태를 계기로 정보통신망법의 개선 필요성도 제기되고 있다.

특히 자진 신고 여부와 관계없이 중대한 침해 사고에 대해 당국이 즉시 조사할 수 있는 권한을 부여하고, 신고 지연이나 은폐 시 제재를 강화하는 방안이 논의되어야 한다는 목소리가 커지고 있다.