머니투데이

속보
VIP
통합검색

"사이버공격 피해기업에 과도한 형사제재, 완화해야"

머니투데이
  • 황국상 기자
  • 카카오톡 공유하기
  • 카카오톡 나에게 전송하기
  • 페이스북
  • 트위터
  • 네이버
  • 카카오스토리
  • 텔레그램
  • 문자
  • 2022.09.20 06:33
  • 글자크기조절
  • 의견 남기기

[인터뷰] 장준원 전문위원(법무법인 화우, 전 경찰청 사이버테러수사팀장)

장준원 법무법인 화우 전문위원(전 경찰청 국가수사본부 사이버테러수사팀장) / 사진제공=법무법인 화우
장준원 법무법인 화우 전문위원(전 경찰청 국가수사본부 사이버테러수사팀장) / 사진제공=법무법인 화우
"기업들이 아무리 보안조치 등 대비를 잘 한다고 하더라도 작정하고 침투하는 이들을 모두 막기란 불가능합니다. 사이버 공격을 받은 기업들은 사실상 피해자임에도 데이터 유출 자체만으로 형사처벌 대상이 되기도 합니다. 기업 형사처벌 조항의 감면 등 합리적 개선이 필요합니다."

20년간 경찰 생활을 마치고 지난해 9월 법무법인 화우의 디지털포렌식센터에 합류한 장준원 전문위원은 이같이 강조했다. 장 위원은 서울경찰청 사이버수사대 팀장 및 디지털포렌식팀장, 경찰청 국가수사본부 사이버테러수사팀장 등을 역임한 보안 전문가다. 화우는 장 위원을 비롯해 경찰·검찰 출신 전문위원들을 다수 영입해 디지털포렌식 및 사고대응 등에 대한 자문역량을 최근 강화했다.

2016년 당시 가장 많은 규모의 과징금 처분이 내려졌던 인터파크의 해킹 사건을 비롯해 △같은 해 평창올림픽 개막식 대규모 사이버 테러 사건 △박근혜 전 대통령 음해 동영상 대량 유포 사건 △아동·청소년 성착취 동영상 유포자 손정우 사건 등 사이버 공간을 무대로 펼쳐지던 각종 기업·기관 대상 범죄나 사이버 범죄를 수사하던 현장에 장 위원이 있었다.

러시아·중국 및 북한발 사이버테러 공격이나 손정우 사건과 같은 다크웹 범죄도 두루 다뤘다. 장 위원은 "성착취물 관련 글로벌 공조수사도 사이버테러 수사기법이 심도있게 활용되기 때문에 사이버수사 및 사이버테러 수사팀이 이를 함께 수사해왔다"고 설명했다.

그는 우리 정부나 기업을 대상으로 한 북한발 사이버공격이 활발하게 이뤄져 왔고 그 유형도 크게 △피싱(Phishing) 메일을 통해 피해자 기기를 감염시켜 정보를 탈취하는 유형 △직접 기술적 난도가 높은 해킹을 감행해 큰 사회적 혼란을 일으키는 유형 △하부조직을 통한 해킹 등 3개 유형으로 나뉜다고 설명했다.

북한 해커들은 한국어가 가능한 만큼 한국 기관·기업을 상대로 한 '맞춤형 해킹'이 가능하다는 점 때문에 한국이 북한발 사이버공격의 주된 피해자가 되고 있다고 했다. 그래도 과거에는 기본설정 암호를 바꾸지 않고 그대로 이용하는 등 보안허점 때문에 큰 사고가 발생하고는 했지만 최근에는 우리 국민들의 보안상식이 크게 높아지며, 기본적인 보안 허점으로 인한 대형 사고는 크게 줄었다는 게 장 위원의 설명이다.

사이버공격을 감행하는 이들도 보다 조직화되고 지능적인 공격을 가하면서 기업들의 공격 방어에도 한계가 있을 수밖에 없다. '완전무결한 방어'만 고집하기보다는 빠른 정보 공유를 통해 방어 시스템 고도화를 도모하는 쪽으로 방어전략의 무게중심을 이동할 필요가 커졌다는 것이다.

특히 현행 법제도의 문제점을 지적했다. 장 위원은 "최근 판례에서 사이버공격으로 기업이 고객 개인정보 유출 피해를 입을 경우 기술적·관리적 보호 조치 의무 위반은 고의(미필적 고의 포함)가 있어야 하지만 '개인정보 분실·도난·유출·위조·변조 또는 훼손'이라는 결과 발생 부분까지 고의의 대상이 되는 것은 아니라고 판단한다"며 "현행 법제에서는 사이버공격 피해를 입은 기업이 추후 개인정보 유출로 인한 결과가 발생할 가능성을 인지하지 못하더라도 기업이 형사처벌의 대상이 될 가능성이 매우 높다는 의미"라고 했다.

그는 "기업으로서는 해커로부터 공격당했다는 사실과 유출당한 개인정보를 유포하겠다는 협박을 받는 데다 당국으로부터 형사처벌까지 받아야 하는 부당한 상황에 놓이게 된다"고 했다.

또 "디지털포렌식이나 정보보안 진단을 통해 보안상 취약점이나 감사상 취약점을 전문가들과 선제적으로 논의해 막을 수 있도록 하는 문화가 안착돼야 하는데 현재의 법제 하에서는 기업들이 자사의 취약점을 전문가들과 함께 보완할 유인이 적다"며 "최소한 예방조치를 잘 한 기업이나 피해정보의 빠른 공유를 통해 추가피해를 막은 기업에 대해서는 형사처벌을 감경·면책하는 등 합리적인 개선이 필요하다"고 했다.

그는 "기업들도 보안위협을 사전에 탐지하거나 사후에 분석하는 경험을 갖춘 경우가 드물기 때문에 적극적으로 외부 전문가들과 논의할 필요가 있다"며 "특히 최근의 기업대상 범죄는 한 건의 공격으로 여러 번의 협박이 잇따라 나올 수 있기 때문에 사건 발생 초반에 조치할 수 있도록 해야 할 것"이라고 강조했다.



머니투데이 주요뉴스

밑 빠진 韓증시 또 '최저점'…"코스피 1920까지 밀릴 수 있어"

네이버 메인에서 머니투데이 구독 카카오톡에서 머니투데이 채널 추가

베스트클릭

오늘의 꿀팁

  • 날씨
  • 건강쏙쏙

많이 본 뉴스

그린 비즈니스 위크 사전등록하면 무료관람
부꾸미
사회안전지수

포토 / 영상

머니투데이 SERVICE