Home > SecurityWorld > 기획특집
[2020 국감 결산] 보안·안전·개인정보보호가 핵심 의제가 되다
  |  입력 : 2020-11-03 17:55
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
디지털 성범죄부터 전통시장 화재, 사이버 보안 강화까지 온·오프라인 이슈 가득

[보안뉴스 엄호식 기자] 2020년도 국정감사가 10월 7일부터 26일까지 진행됐다. 특히, 올해는 코로나19의 영향으로 보건복지부와 질병관리청을 대상으로 진행되는 2020년도 보건복지위원회 국정감사가 국회, 보건복지부(세종), 그리고 질병관리청(오송)에서 3각 연계해 비대면 영상회의 방식으로 진행되기도 했다.

[이미지=utoimage]


이는 여야가 제21대 국회의 첫 국정감사가 철저하게 이루어져야 한다는데 공감하면서도 코로나19 상황을 고려해 국가 방역태세에도 만전을 기해야 한다는 점에서 언택트(On-tact) 국감을 추진하기로 합의했기 때문이다.

국회는 본관 청사의 같은 층에 위치한 상임위원회 간 국감 일정을 조정해 인원이 밀집되는 것을 방지하고, 국감장 주변 공무원들의 밀집대기 현상을 완화하기 위해 빈 회의실 등의 공간을 대기장소로 제공하는 등 청사 내 사회적 거리가 철저히 이루어질 수 있도록 대책을 마련하기도 했다.

그렇다면 2020년 국정감사에서는 어떠한 내용이 논의됐을까, 어린이, 안전, 기업과 기업보안, 개인정보, 인증&제도, 사이버범죄 영역으로 나눠 주요 내용을 정리해 봤다

안전(Safety)
공중화장실 범죄예방 개선 필요(행정안전부) : 국감에서는 몰래카메라 등 공중화장실 내에서 벌어지는 각종 범죄로 인해 공중화장실 이용편의 및 청결 관리 이상으로 안전 관리가 중요 쟁점으로 논의됐다.

▲공중화장실 내 범죄 건수(단위 : 건)[자료=경찰청]


경찰청 자료에 따르면 공중화장실 내 범죄 건수는 2014년 1,795건에서 2018년 4,224건으로 증가했다. ‘공중화장실 등에 관한 법률’은 이용편의와 위생을 중심으로 남녀 구분 설치, 여성화장실 변기 수, 편의시설 등을 설치기준으로 하고 청결과 관련된 사항을 관리기준으로 해 연 1회 정기점검을 하도록 하고 있다. 하지만 2019년 말을 기준으로 전국 공중화장실 5만 2,377개 중 90% 이상인 4만 7,158개의 화장실이 관련 법률에 따라 남녀 구분 설치돼 있는데 반해 관련 법 규정의 미비로 약 17%에 해당하는 8,969개 화장실에만 범죄예방 장치인 비상벨이 설치돼 있다는 지적이다.

특히, 좁고 폐쇄적이며 사적인 공간인 공중화장실은 범죄 발생 시 타인에게 도움을 요청하기 어려운 문제가 있다. 이에 비상벨 설치를 통해 비상상황에서 신속하게 외부에 도움을 요청할 수 있도록 해야 한다는 것이다. 더불어 공중화장실 내 몰래카메라 범죄 예방을 위해 연 1회 실시하는 정기점검의 빈도를 높여 시설 점검을 강화할 필요가 있다는 의견도 제시됐다.

전통시장 화재안전, 개선 시급(소방청) : 매년 130억원의 세금이 투입되는 전통시장 화재알림시설 설치사업이 소방법을 무시한 채 추진되고 있다는 지적이 제기됐다. 2019년까지 3년간 전통시장 화재발생 현황을 살펴보면 2017년 31건, 2018년 54건 그리고 2019년 46건 등 총 131건의 화재가 발생했으며 이에 따른 재산피해액은 799억 2,700만원에 이르는 것으로 나타났다.

▲최근 3년 간 전통시장 화재 발생 현황(*2019년 제일평화시장 화재 재산피해액 약 716억원)[자료=소방청]


전통시장 내 화재사고는 해마다 전국에서 발생하고 있는데, 전통시장 화재는 한 번 발생하면 대형화재로 확대돼 심각한 인명 및 재산피해를 유발함으로써 지역 상인들의 생계수단을 위협하고 있다. 전통시장의 화재취약요인으로는 전통시장의 구조적 한계(노후 건물 밀집, 다수의 인화성 물질 취급, 미로식 통로구조 등), 노후 전기·가스·소방시설 관리미흡, 소방시설 적용 및 소화활동 곤란, 안전교육 부족 등을 들 수 있다.

이에 정부는 2018년 전통시장에 대한 화재안전대책으로 ‘화재알림시설 설치사업’을 펼치고 있다. 중소벤처기업부는 2018년 95억원의 예산 투입을 시작으로 2019년부터는 해마다 약 130억원의 예산을 투입하고 있다. 소방청 또한 화재알림시스템 설치 확대를 위해 전국 소방서에 시스템의 적정성 등을 판단해 주는 기술 지원 업무를 수행하고 있다.

올해 국감에서는 화재알림시설이 소방관련법 규제 대상이 아니라는 이유로 성능이 검증되지 않은 미승인 소방시설이 설치되고 있는 것으로 드러났다. 화재예방과 소방시설 설치유지 및 안전관리에 관한 법률에서는 형식승인을 받지 않은 소방용품의 제조와 판매를 금지하고 있지만, 업체들은 제품의 명칭을 소방법과 다르게 화재감지기와 중계기, 수신기 등으로 변경해 법망을 교묘히 피해 나갔다는 것이다.

이에 전통시장의 안전을 위협하는 성능검증조차 안 된 미승인 제품이 쓰이는 것은 심각한 문제이며, 전통시장에 설치되는 화재알림시설의 설치 실태와 성능 확인이 시급하다고 지적했다. 특히, 소방시설의 설치기준과 성능을 규제하는 소방청이 앞장서 모순점을 바로잡아야 한다는 의견이다. 이외에도 전통시장의 발전과 소방안전 관리체계의 근본적인 개선을 위해서는 전통시장 현대화 사업을 실행해 나가는 것과 더불어 화재보험 확대 정책을 연계시키는 방안을 고려해야 한다. 또한, 불법 적치물 관리나 소방진입로 확보 등을 위해 체험 위주의 화재안전교육 등 상인들의 자발적인 참여를 통한 자체안전관리 활동을 강화할 필요가 있다는 의견이다.

어린이(Child)
어린이 보호구역 안전 강화 절실(경찰청) : 2020년 3월 25일부터 개정·시행된 민식이법(특정범죄 가중처벌 등에 관한 법률 및 도로교통법)을 통해 어린이보호구역에서 발생한 어린이 교통사고의 처벌 수위가 높아지고 무인 교통단속 장비 등 교통안전시설의 실치가 의무화됐다.

▲어린이 보호구역 속도위반 적발 건수(연도별 최고속도 포함)[자료=경찰청]


하지만 경찰청 자료에 따르면 어린이보호구역 내 속도위반 차량은 2016년 13만 1,436건에서 2019년 125만 3,240건으로 10배 이상 폭증했으며, 올해 8월까지도 속도위반 적발 건수는 67만건에 달했다. 2016년부터 2019년까지 적발된 속도위반 차량 중 가장 빠른 차량의 속도는 시속 122㎞로 제한 속도인 30㎞에 4배 이상 과속한 것으로 집계됐다. 올해 적발된 위반차량의 최고속도는 109㎞로 나타났다.

▲어린이 보호구역 내 어린이 교통사고 추이[자료=도로교통공단 교통사고분석시스템]


또한, 2016년부터 2019년까지 발생한 어린이 보호구역 내 어린이 교통사고는 총 1,961건이었다. 특히, 감사원의 교통약자 보호구역 등 보행자 안전관리실태 감사보고서에 따르면 어린이 통행이 잦은 학원 주변 도로의 보호구역 미지정 및 보호구역에 설치된 CCTV의 비효율적 운영 등의 문제점이 지적되기도 했다.

이에 운전자들이 어린이보호구역을 지나칠 때 어린이들의 보행 안전을 확보할 수 있도록 세심한 주의를 기울일 필요가 있다는 의견이다. 어린이 교통안전을 위한 처벌강화와 안전시설의 설치 확대도 중요하지만, 어린이 보호구역 전반의 운영체계를 꾸준히 개선하는 노력이 필요하다는 것이다. 이와 함께 여전히 보도와 차도로 분리되지 않은 통학로에 안전한 통학을 위한 보행로를 설치하는 사업이나, 도로안전시설이 없이 차량의 과속이나 어린이의 무단횡단이 발생할 수 있는 도로를 안전중심의 도로로 개선하는 노력이 필요하다는 내용도 제시됐다.

어린이집 CCTV 노후화 심각(보건복지부) : 보건복지부 제출 자료에 따르면 전국 어린이집에 설치된 5만 323개 CCTV 가운데 3만 4,626개(68.6%)가 5년 이상된 노후 CCTV인 것으로 나타났다. 지자체별로는 광주광역시가 91.7%로 노후 CCTV 비율이 가장 높았다. 이어 대전(87.8%), 전남(84.8%), 제주(83%), 대구(82.5%), 부산(81.8%), 경북(81.3%), 서울(80.9%), 충북(80.4%), 전북(80%), 울산(79.9%), 강원(76.9%), 충남(75.1%), 경기(71.2%), 경남(60%), 세종(42.2%), 인천(25.9%) 등으로 나타났다.

현재 주거시설의 CCTV는 공동주택관리법 시행규칙에 따라 5년마다 노후한 CCTV를 전면교체하도록 사용기한과 교체시기를 명시하고 있다. 하지만 어린이집 CCTV와 관련된 영유아보육법에는 관리 방안에 대한 명확한 규정은 없으며, 전문성이 부족한 어린이집 원장과 보육교사에게 관리하도록 명시하고 있어 의무 설치 이후 관리책임을 어린이집에 떠넘기고 있다는 지적이다.

CCTV 노후화의 대표적인 증상은 ‘영상 저장공간 부족’이다. 최근 3년간 791개 어린이집을 대상으로 점검한 결과 CCTV 관련 위반사항 823건 중 634건(77%)이 ‘영상정보 60일 이상 미보관’이었다. 점검을 전체 어린이집으로 확대한다면 이 수치는 많이 증가할 것으로 예상된다.

이에 CCTV 의무 설치 후 관리가 이뤄지지 않는다면 제도 자체가 무용지물이며 점검·관리 및 교체 주기를 구체적으로 규정해 어린이집 CCTV가 보육 현장에서 제대로 운영될 수 있도록 면밀히 살펴야 한다는 의견이 제시됐다.

개인정보(Privacy)
온라인 개인정보 유출, 최근 3년 사이 12배 이상 폭증(개인정보보호위원회) : 최근 5년간 행정 처분된 개인정보 유출만 해도 5,300만건이 넘는 것으로 드러났다. 이에 최근 3년 사이 개인정보 유출량이 12배 이상 폭발적으로 증가했다며, 개인정보보호 관리·감독에 대한 기업의 책임을 강화해야 한다는 의견이 국회에서 제기됐다.

개인정보보호위원회 제출자료에 따르면 2016년 이후 해킹 및 직원 과실 등으로 인한 개인정보 유출 건수는 총 5,316만 723건에 달하며, 작년 436만 72건에서 올해 6월 기준 1,302만 3,577건으로 반년 만에 지난해보다 2배 이상 급증하고 있는 것으로 나타났다. 이외에도 2016년 2,932만 6,566건으로 가장 많았으며, 2017년 101만 5,496건·2018년 543만 5,012건인 것으로 확인됐다.

특히, 2017년 100만건 수준이던 개인정보 유출량이 올해는 반년 만에 1,300만건으로 최근 3년 사이 12배 이상 폭발적으로 증가했다. 이는 단순히 해킹 시도가 늘어나기보다 해킹 등이 고도화된 데 비해 기업의 개인정보보호에 대한 관심과 기술 수준이 빠르게 변하는 시대를 맞추지 못한 것 아닌가 하는 의견이 제시됐다.

또한, 대부분이 해킹, 직원 과실 등으로 인한 개인정보 유출이 대다수이며 몇몇 사건의 경우, 아직도 개인정보 유출 원인조차 확인하지 못한 사례도 있으며 정보보호 공시 및 해킹사고 조사를 의무화해 개인정보보호에 대한 기업의 법적 책임을 강화해야 한다고 지적했다.

주민등록번호 등 타인 정보로 인한 개인정보 침해 심각(개인정보보호위원회) : 주민등록번호 등 타인의 정보를 이용한 개인정보 침해가 심각한 수준에 이르러 대책 마련이 시급하다는 지적이 나왔다.

개인정보보호위원회의 제출자료에 따르면, 2019년 한 해 동안 개인정보침해 신고센터에 접수된 15만9,255건의 신고·상담 건 가운데 가장 큰 비중을 차지한 개인정보 침해 유형은 ‘주민등록번호 등 타인 정보의 훼손·침해·도용’으로 전체의 84%(13만 4,000여건)를 차지했다.

국감에서는 코로나 사태가 장기화하면서 비대면 문화가 확산함에 따라 주민등록번호 등 개인식별번호에 대한 유출이나 도용 문제의 급증을 예상했다. 이에 대해 정부와 공공기관을 중심으로 불필요한 주민등록번호 등 개인식별번호 수집을 최소화하고, 취약·영세기관에 대한 모니터링 강화 등 개인정보 침해 문제를 획기적으로 해결할 방안 모색이 시급하다고 지적했다.

기업 & 기업보안(Corporate & Corporate Security)
NIPA 클라우드 공급기업, 보안사고 일어난 곳 많다(과학기술정보통신부) : 정부의 클라우드 확산 사업의 공급자로 선정된 기업 254개 중 15개 기업에서 27건의 보안사고가 일어난 것으로 알려졌다. 정보통신산업진흥원(NIPA)는 2017년부터 전국 소상공인·중소기업의 정보화 수준 향상 및 클라우드 시장의 확산을 위해 공급기업과 수요기업을 매칭해 클라우드 서비스 이용을 지원하는 ’중소기업 클라우드서비스 적용확산 사업‘을 수행하고 있다. 이 사업은 문재인 정부 국정과제 중 ’4차 산업혁명 기술·인재·산업 생태계 조성 및 혁신적 규제개선‘에 해당하는 사업이며, 2022년까지 1만개 기업 지원을 지원하는 것을 목표로 현재까지 총 6,040개 기업을 지원했다.

정부는 매년 27억원의 예산을 지원해(올해만 26억원) 중소기업 제품은 정부가 70%를 지원, 중견기업은 60%, 대기업은 50%까지 금액을 지원하고 수요기업은 정부지원금 외 비용을 부담하도록 하고 있다. 클라우드 서비스 공급기업으로는 KT, LG유플러스와 같이 데이터센터를 보유한 대기업도 일부 포함돼 있고, 데이터 센터는 없지만 클라우드 서버를 빌려 경영관리, 화상회의 등 솔루션 제품을 만들어 판매하는 중소기업이 다수 참여하고 있다.

한편, 클라우드를 활용한 솔루션 제품은 기업의 데이터를 분석해 만들며, 영업기밀에 해당할 수 있는 데이터는 그대로 클라우드에 다시 저장되는 만큼 클라우드 업무환경에서 가장 중요한 것은 보안이라고 할 수 있다. 그런데 클라우드 공급기업으로 참여한 254개 기업 중 15개 기업에서 개인정보유출, 악성코드 감염 등 총 27건의 보안사고 이력이 확인됐다.

클라우드 지원사업에서 보안사고 이력이 있는 기업들이 선정될 수 있었던 것은 공모선정 과정에서 클라우드 보안성에 대한 평가가 이루어지지 않았기 때문으로 파악됐다. NIPA는 공급기업 선정 시 클라우드 분야의 전문 교수들로 전문위원회를 구성해 공모한 기업들을 심사하는데 선정기준에는 클라우드 서비스 보유 및 판매 여부, 산업영향도, 재무건정성이 포함돼 있다.

이에 따라 공모에 지원하는 기업들은 클라우드 제품정보 자료, 사업자등록증, 재무제표 관련 자료만 제출하기 때문에 보안사고 이력이나 정보보호최고책임자(CISO) 신고 여부, 정보보호관리체계(ISMS) 인증 여부 등을 확인하는 절차가 없다. 실제로 선정된 클라우드 공급기업 중 7개 기업은 CISO 신고 의무 대상 사업자임에도 아직 신고를 하지 않은 것으로 확인됐다.

대기업의 하도급 불법 기술유용 해결책 마련 시급(정무위원회) : 현대중공업의 하도급업체 불법적 기술 유용과 같은 사건의 처리기간을 단축해야 한다는 주장이 2020년 국감에서 제기됐다. 정무위원회 국정감사에서 기술유용사건은 전문적인 기술에 대한 지식이 필요하고 기술탈취에 대한 조사 등의 이유로 처리 기간이 장기화하는 경향이 있어 영세한 중소기업 입장에서 피해가 가중된다는 점이 지적됐다. 또한, 기술 유용은 중소기업의 기술개발 유인을 저해해 궁극적으로 우리 산업의 경쟁력 악화까지 초래할 수 있다고 강조됐다.

실제로 공정위의 최근 3년간 기술유용사건 처리 기간은 평균 591일이었으며, 최대 1,094일에 달했다. 이어 현재 기술유용사건을 담당하는 조직은 소규모 임시조직으로 사건의 전문성에 비해 현저히 부족하다며, 특허청과 같은 외부전문집단과의 TF 구성, 조직의 확충 등 사건 처리 기간을 단축할 방안을 마련해서 보고해 달라는 의견이 제시됐다.

이에 조성욱 공정거래위원장은 처리가 늦어지는 것은 사실이고 외부 인력 확충 방안, 최소한 MOU의 가능성, 그리고 인력과 예산의 문제를 해결하기 위해 종합적으로 노력하겠다고 답했다.

방산 기술 기밀 유출과 퇴직자(방위사업청) : 지난 4월 국방과학연구소(ADD) 퇴직 연구원들이 무기 관련 기술 및 정보를 허가 없이 유출하는 등 기밀 자료가 다량 유출된 정황이 포착돼 방위사업청 감사와 경찰의 수사가 진행되고 있다. 조사대상자는 23명이다. 이들은 인공지능(AI)에 대한 소스코드나 미래전 관련 기술 등 기밀자료를 이동형 대용량 저장장치에 저장하거나 문서로 출력해 외부로 유출한 혐의를 받았다. 특히, 대부분 대학이나 유명 방산기업에 재취업한 것으로 알려져 군 당국의 무기 개발 관련 기밀이 외부로 유출됐을 가능성까지도 제기됐다.

[이미지=utoimage]


방위사업청은 2016년 1월부터 2020년 4월까지 ADD 퇴직자 1,079명과 재직자에 대한 휴대용 저장매체 사용기록을 전수 조사한 결과, 퇴직 전에 대량의 자료를 휴대용 저장매체로 전송해 자료를 유출한 정황이 발견됐으며, 이 가운데 외국으로 출국한 2명에 대해서는 경찰청에 수사를 의뢰하기도 했다.

방위사업청의 감사결과 중간발표에 따르면, ADD는 자체 기술자료 유출 예방을 위한 체계가 구축되지 않았으며, 퇴직자의 기술자료 유출 방지를 위한 조치 활동이 미흡한 것으로 밝혀졌다. 이에 연구소 내 방위산업기술 보호 체계에 대해 점검하고 이를 개선하기 위해 핵심기술 보유 인력의 국내·외 유출 방지를 위한 관리·감독 강화방안을 추진할 계획이라고 밝혔다. 이와 더불어 퇴직 이후 이들 핵심기술 보유 인력들의 전문성 활용 제고 방안을 제도화할 필요가 제기됐다.

이번 기술유출 사건도 그 기저에는 그동안 ADD가 핵심기술을 보유하고 있는 전문 인력들의 퇴직 이후 전문성 활용을 위한 체계적·제도적 방안을 구축하지 못했다는 점이 작용한 것으로 볼 수 있다는 지적이다.

이에 ADD의 연구역량을 신기술·핵심기술연구 사업에 집중하도록 하는 국방 연구개발체계 개편에 맞춰 ADD가 보유하고 있는 일반 국방기술들을 민간에 이양하기 쉽도록 관리하고, 이에 맞춰 퇴직 인력이 민간업체로 이직하거나 재취업해 전문성을 발휘할 기회를 창출하는 방안을 모색해야 한다고 강조했다.

인증&제도(Certification & System)
ICT 대기업 정보보호 공시제도 의무화 필요(과학기술정보통신부) : 과기정통부가 제출한 ‘정보보호 공시제도 참여기업 현황’ 자료에 따르면, 과기정통부는 2016년 8월부터 2020년 7월까지 누적 74개 기업이 정보보호 공시에 참여한 것으로 제출했지만, 중복기업을 제외하면 참여 기업은 36곳인 것으로 나타났다.

KISA가 시행하는 ‘정보보호 공시제도’는 기업의 정보보호 책임성 강화와 이용자 알권리 보장을 위해 도입한 제도로, 기업이 자사의 정보보호 투자 등의 현황을 공개하는 ‘자율공시제도’다. 과기정통부는 이 제도와 함께 ‘정보보호관리체계(ISMS) 인증제도’를 상호보완적으로 운영하기 위해 공시제도에 참여하는 기업을 대상으로 ISMS 인증 수수료 감면 혜택 등을 제공한다.

ISMS 인증제도의 경우 △망 서비스 제공 사업자(ISP) △정보통신시설 사업자(IDC) △매출액, 사용자 수 등이 일정 수준을 초과하는 인터넷 서비스 제공자, 상급병원, 대학교 등을 의무 대상자로 한다. 과기정통부는 ISMS 인증 의무 대상자는 정보보호 관리 책임이 높은 기업인만큼 정보보호 공시제도 대상 기업을 선별할 때도 이를 포함하도록 고려해야 한다는 입장을 밝혔다.

지난해에는 1억 5,000만원의 예산으로 총 28개 업체에 컨설팅을 지원했으며 이중 21개 업체만 정보보호 공시에 참여했다. 컨설팅을 신청하는 업체는 기업의 신뢰도를 높이고 마케팅에 활용하려는 취지에서 자발적으로 신청하게 된다. 하지만, 최종적으로 정보보호 관련 예산 비율이 저조해 공시하기 어려운 수준이거나 의무가 아니기 때문에 CEO 결심 단계에서 포기해 버리는 경우가 많다는 것이 과기정통부의 설명이다.

현행법상 정보보호 공시제도는 의무사항이 아니므로 기업당 500만원의 예산을 들여 약 4회에 걸친 컨설팅을 진행하고도 기업 내부사정에 의해 공시를 하지 않겠다고 하면 이를 제재할 수 없는 실정이다. 정보보호공시제도 예산 집행의 실효성을 담보하고 기업의 정보보호를 강화하기 위해서는 기업의 공시 참여를 확대할 제도적 대안 마련이 필요한 시점이다.

KISA, IoT 보안인증서비스 개선 필요(과학기술정보통신위윈회) : 2020년 과학기술정보방송통신위원회 국정감사에서 현재 한국인터넷진흥원(이하 KISA)이 제공하는 IoT 보안인증을 받은 제품이 3년간 50건에 불과하다며, 사물인터넷 보안 위협이 커지는 만큼 보안인증 서비스 활성화를 위한 개선 노력이 필요하다는 의견이 제시됐다.

▲홈네트워크(IOT) 보안인증 취득 현황(단위 : 건)[자료=한국인터넷진흥원]


국감에서는 지난 9월 한 보안업체가 커피머신을 해킹해 뜨거운 물을 내뿜고, 화면에 돈을 내놓으라는 메시지를 내보내는 실험에 성공했다. 컴퓨터에서 개인정보를 유출하는 해킹을 넘어 가전제품으로 타인의 사생활을 훔쳐보고 협박하는 단계가 됐다. 특히, 홈 네트워크의 경우 사용자 동의 없이 실내에 설치된 보안카메라를 제어하거나 출입문을 제어할 수도 있다. 또한, 아파트 등은 가구별 망분리가 이뤄지지 않아 한 가구가 해킹되는 것만으로도 아파트 전체가 해킹될 수 있는 만큼 IoT 보안인증서비스를 활성화할 필요가 있다는 의견이 제시됐다.

KISA가 운영하는 ‘IoT 보안인증서비스’는 사물인터넷 기기의 보안 수준을 평가하고, 이에 대한 인증을 제공하는 서비스로, 지난 2018년부터 운영을 시작했다. 당시 KISA는 이 서비스의 취지에 대해 저전력·경량 기기에 알맞은 보안기능을 IoT 기기 제조 단계에서 내재화할 필요성을 느꼈기 때문이라고 소개한바 있다.

인증 신청 기업이 시큐어코딩, 알려진 취약점 제거, 데이터 암호화 등 KISA가 제시하는 최소한의 보안 요건을 충족하면 인증 마크를 제공하고, 마케팅에 활용할 수 있도록 지원한다. 특히, ‘제도’가 아닌 ‘서비스’인 이유는 IoT 기업이 상대적으로 영세한 경우가 많아 제도로 강제할 경우 기업에 부담이 될 수 있다.

또 한편으로는 자율인증으로 시행해온 만큼 2020년 현재까지 인증을 받은 IoT 제품 현황은 50개에 불과해 인증서비스 활성화 기준을 마련하고, 이를 의무화하는 제도 개선 혹은 자발적 참여 기업에 대한 인센티브를 제공하는 방안을 마련해야 한다는 것이다.

이에 김석환 KISA 원장은 “IoT 보안인증 서비스 도입 당시 영세 제조기업이 대부분인 만큼 자율인증으로 시행했다. 홈네트워크는 IoT 기기 보안 미흡에서 발생하는 만큼 보안 성능을 강화할 필요성을 느끼고 있다. 또한, 향후 보안인증 제품이 시장에 원활하게 공급될 수 있도록 MOU를 통해 지원하고 있다”고 밝혔다.

사이버 범죄(Cyber crime)
디지털 성범죄, 솜방망이 처벌 원인 있다(법무부) : 최근 N번방 사건 등을 필두로 온라인 공간에서 여성의 신체와 인격, 성적 자기결정의 자유에 대한 침해행위들이 많아지고 있다. 이렇듯 카메라 등을 이용해 불법 촬영을 하거나 그 촬영물과 복제물을 유포하는 디지털 성범죄가 지속적인 형량 강화에도 불구하고 계속 증가하는 데에는 법원의 솜방망이 처벌에도 원인이 있다는 지적이 제기됐다.

대법원의 ‘최근 5년간 디지털 성범죄(성폭력처벌법 제14조) 1심 재판 결과’ 자료에 따르면 집행유예 비율이 2015년 27.7%에서 2020년 6월 기준 48.9%로 21.2% 증가했다. 국회는 2018년 디지털 성범죄와 관련해 불법촬영 또는 반포 등을 한 자에 대해 ‘1,000만원 이하’에서 ‘3,000만원 이하’로 벌금형의 상한선을 높이고, 촬영 당시 동의했더라도 사후에 촬영대상자의 의사에 반해 반포 등을 한 자에 대해서도 ‘3년 이하의 징역 또는 500만원 이하의 벌금’에서 ‘5년 이하의 징역 또는 3,000만원 이하의 벌금’으로 형량을 강화했다.

또한, 올해 5월에는 이를 다시 ‘7년 이하의 징역 또는 5,000만원 이하의 벌금’으로 상향 조정해 8월 5일부터 시행하고 있다. 하지만 디지털 성범죄는 2015년 1,474건에서 꾸준히 늘어 2019년에는 1,858건으로 26.1% 증가했다.

이러한 증가의 요인으로 법원이 강화된 처벌기준을 엄격하게 적용하기보다 오히려 집행유예를 많이 선고하는 등 솜방망이 처벌로 일관하기 때문이라는 것이다. 대법원 양형위원회에서도 이 같은 문제를 인식하고, “디지털 성범죄와 관련된 엄중한 현실을 인식하고 기존 판결례에서 선고된 양형보다 높은 엄중한 양형 기준 설정이 필요하다는 데 의견을 같이했다”라고 밝히기도 했다.

특히, N번방 용의자의 신상 공개를 요구하는 국민청원이 270만명을 육박하는 등 디지털 성범죄에 대한 국민적 공분이 큰데, 법원의 인식은 국민의 눈높이에 미치지 못하며, 아무리 국회가 형량을 높여도 법원이 선고하지 않으면 소용이 없다는 의견이다.

진화하는 사이버 범죄...KISA의 보다 적극적 대응 필요(과학기술정보통신부) : 과학기술정보통신위원회 2020년도 국정감사에서 사이버 범죄 증가와 대응 미흡에 관한 지적이 나왔다. 스미싱 범죄와 악성 앱이 빠르게 늘고 있는 가운데 피해액 누적도 1조 7,000억 원에 이르며, 특히 이러한 정보가 유관기관 사이에 제대로 공유되지 않고 있다는 것이다.

[이미지=utoimage]


최근 활개치고 있는 전화 가로채기 같은 수법은 한국인터넷진흥원(이하 KISA)이 2016년에 파악해 보고서를 냈지만, KISA가 이를 금융위원회에 공유하지 않고 4년간 방치했으며, 올해 7월 감사에서 정보공유 미흡으로 지적받아 관련 자료를 수동으로 전달한 것으로 알려졌다. 이에 이러한 정보가 유관기관 사이에 자동으로 공유될 수 있는 시스템 구축을 당부했다.

전화 가로채기 수법은 범죄조직이 스미싱 등의 방식으로 피해자 스마트폰에 악성 앱을 설치하고, 스마트폰을 감시해 금융사나 경찰 등에 전화를 걸 때 이를 가로채 범죄조직에게 연결하는 방식이다. 일반적인 보이스피싱과 비교해 사용자가 직접 해당 기관으로 전화를 걸었기 때문에 피해자가 속기 쉬우며, 피해액 역시 일반 보이스피싱보다 10배가량 크다.

김석환 KISA 원장은 “기술적으로 URL이 포함된 문자 메시지와 스미싱을 체크하고 있지만, 정보 공유가 미흡했던 부분은 사실이다. 시스템 자동화를 통해 정보가 실시간으로 공유되도록 하고, 관련기관 사이에 원활하게 협조할 수 있도록 하겠다”고 말했다.

한편, 기업의 개인정보 유출에 관한 질의도 이어졌다. 기업 해킹을 통해 유출된 개인정보는 다크웹 등을 통해 거래되고 있으며, 이러한 정보를 기반으로 보이스피싱 등의 범죄가 성행하고 있다는 설명이다. 특히, 국내 중소기업이 무료로 사용할 수 있는 방화벽과 백신이 있음에도 불구하고 홍보가 미비해 이를 활용하지 못한다고 지적했다.

이에 장석영 과학술정보통신부 제2차관은 “다크웹을 일반적으로 모니터링하는 것은 기술적으로 한계가 있는 만큼, 수사기관과의 정보공유를 통해 대응하고, 연구개발을 통해 추적할 수 있는 방안을 마련하겠다. 또한, 중소기업 개인정보보호 대책 역시 실효성을 가질 수 있는 방향으로 이어갈 것”이라고 말했다.

자가격리 앱의 보안 문제 발견과 이에 대한 대응 미비에 대한 지적도 나왔다. 자가격리 앱은 사용자 개인정보 및 위치정보 등을 이용하는 만큼 정보유출에 관한 우려도 존재한다. 특히, 해당 앱 사용자가 불완전한 암호화로 데이터 탈취 가능성을 우려해 KISA로 제보했으나, KISA에서는 이를 미처 확인하지 못했던 것으로 드러났다.

이러한 지적에 대해 김석환 원장은 “공공 앱의 보안성 검증은 이미 시스템으로 갖춰져 있으나 이번 앱의 경우 급하게 진행하며 건너뛴 부분이 있다. 또한, 제보 시스템의 경우 공식 채널이 아니었던 만큼 이를 놓친 것이 사실이다. 향후 제보 시스템을 보완해 사고사례 관련 제보가 원활하게 진행될 수 있도록 하겠다”고 답했다.
[엄호식 기자(eomhs@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 한해 동안 가장 큰 관심을 갖고 있는 보안 분야는 무엇인가요?
인공지능(AI) 보안
비대면(언택트) 보안
데이터3법/개인정보보호
빅데이터 보안
클라우드 보안
자율주행차 보안
사물인터넷 보안
스마트시티 보안
기타(댓글로)