사이버 침해사고 발생 시 24시간 이내 신고 의무가 도입됐지만, 여전히 늑장 신고와 미신고가 반복되고 있는 것으로 드러났다. 기업들이 한국인터넷진흥원(KISA)의 기술지원 요청도 절반 이상 거부하며 자체 대응만 고집하고 있다는 지적이 나왔다.

조국혁신당 이해민 의원(국회 과학기술정보방송통신위원회)이 KISA로부터 제출받은 자료에 따르면, 정보통신망법 개정으로 침해사고 24시간 내 신고가 의무화된 2024년 8월부터 지난 1년간 늑장·미신고 사례는 66건에 달했다. 

일부 기업은 사고 인지 후 수개월, 심지어 1년이 지나 신고한 사례도 있었다. 현행 과태료가 최대 3천만원에 불과해 기업들이 신고를 회피하는 원인으로 지목됐다.

최근 5년간 침해사고 신고 건수는 꾸준히 증가했다. 2021년 640건에서 2024년 1887건으로 늘었으나, 같은 기간 KISA 기술지원 요청 비율은 지속 감소했다. 

지난해 신고 기업 1532곳 중 기술지원을 요청한 기업은 834곳(54.4%)에 그쳤고, 올해 상반기에는 777곳 중 324곳(41.7%)만 지원을 요청했다.

문제는 KISA가 기업의 협조 없이는 현장출입이나 서버 점검이 불가능하다는 점이다. 실제 지난해 예스24 침해사고 당시 KISA 분석가들이 두 차례 본사를 찾았으나 협조가 이뤄지지 않았고, 이틀이 지나서야 기업이 뒤늦게 기술지원을 요청해 현장 점검이 가능했다.

이 의원은 "24시간 내 신고 의무화는 침해사고에 즉각 대응하기 위한 최소한의 장치인데, 여전히 늑장 신고와 미신고가 반복되고 있다"며 "기업들이 자체 해결을 이유로 KISA 지원을 회피하는 상황에서 기술지원이 해킹 원인 규명과 피해 확산 방지에 실질적으로 기여하고 있는지도 함께 점검할 필요가 있다"고 강조했다. 

이어 "현행법상 기술지원 거부 시 자료제출 의무만 있을 뿐, KISA의 현장 출입·조사 권한이 부족하다"며 "신속한 대응을 위해 법적 근거를 강화하는 입법 보완이 필요하다"고 덧붙였다.

[스트레이트뉴스 설인호 기자]