출처 :  ​https://www.etnews.com/20230327000219

사이버 위협 확산 방지를 위해 사이버 공격을 받은 사실을 관계기관에 알려야 하는 '신고 의무화' 규정이 제 기능을 하지 못하고 있다. 사이버 공격을 받은 기업 대다수가 이를 알리지 않고 있어 유명무실하다는 지적이 끊이지 않고 있다.

27일 보안업계에 따르면 사이버 공격을 받고도 이를 감추는 사례가 지속 파악되고 있다. 본지가 지난해 말부터 올 1분기까지 보안 전문기업을 통해 확인한 사이버 침해 10여건 가운데 실제 신고가 이뤄진 사례는 2건에 불과했다.

제약사 A·B사 및 건설사 C사는 모두 랜섬웨어 감염 이후 해커와 직접 협상하면서도 이를 관계기관에 알리지 않았다. 랜섬웨어는 기업의 중요한 파일이나 시스템을 암호화한 후 이를 인질로 금전을 요구하는 악성 프로그램이다. 3개 기업 가운데 한 곳은 암호를 풀어 주는 조건으로 해커에 수십억원을 지급했다.

신고 미이행 사례가 주로 랜섬웨어에 집중되는 것은 다른 사이버 공격과 달리 랜섬웨어·정보 탈취는 당사자와 해커만 사고 사실을 알기 때문이다.

'정보통신망 이용촉진 및 정보보호 등에 관한 법률'(정보통신망법)에 따르면 정보통신서비스 제공자는 침해사고가 발생하면 즉시 그 사실을 과학기술정보통신부 장관이나 한국인터넷진흥원(KISA)에 신고해야 한다. 신고 의무를 저버리면 1000만원 미만의 과태료가 부과된다.

정보통신서비스 제공자는 인터넷에서 상업 목적으로 웹사이트를 개설·운영하거나 인터넷 기반 서비스를 제공하는 기업 모두 해당한다.

지난해 KISA가 접수한 사이버 침해 신고는 1100여건이다. 보안업계는 사이버 공격을 받고도 신고하지 않은 실제 피해 건수는 신고 건수의 수십 배 이상인 것으로 추정하고 있다.

이동범 한국정보보호산업협회장은 “사이버 침해 신고 건수는 실제와 괴리가 큰 것으로 파악된다”면서 “사고의 10분의 1도 신고로 이어지지 않고 있다는 분석이 나올 정도로 격차가 큰 것이 사실”이라고 설명했다.