백기승 KISA 원장 "침해사고 발생시, 법적 조사 권한 필요"

"정보통신망법 신고·조사 의무 규정 강화해야"

입력 : 2017-07-09 오후 12:00:00
[뉴스토마토 박현준기자] 백기승 한국인터넷진흥원(KISA) 원장(사진)이 침해사고 발생 시, 피해자의 시스템을 분석할 수 있는 법적 권한이 필요하다고 말했다.
 
백 원장은 지난 7일 서울 광화문의 한 음식점에서 출입 기자들과 만나 "기업이나 기관들이 랜섬웨어같은 침해 사고를 입어도 KISA는 그들을 감독할 권한이 없다"며 "사고 원인 분석을 위해 피해자의 동의와 협조를 구하기 어려워, 자료 수집에 필요한 법적 근거를 마련해야 한다"고 말했다. 랜섬웨어와 디도스 등의 사이버 공격을 받은 기업이나 기관들이 KISA가 시스템 분석을 요구해도 거부하는 경우가 많다보니 초기 대응이 늦어진다는 설명이다. 전재수 KISA 사이버침해대응본부장은 "침해사고 발생 시 즉각적인 대응과 피해 확산을 막는 것에 초점을 두고 있다"며 "정보통신망법에 침해사고 발생 시 해당 기업이나 기관의 신고와 조사에 대한 의무 규정을 강화할 필요가 있다"고 말했다.
 
백 원장은 공인인증서에 대해 "공인인증서는 PKI 기술인데 액티브X 기반으로 만들어진 것이 아니다"며 "본인인증·부인방지·무결성 등을 모두 충족하는 것은 PKI밖에 없으며, 이는 해외에서도 요구하고 있다"고 말했다. 이어 "공인인증서를 포함한 여러 인증수단 중 원하는 것을 택하라는 것이 KISA의 입장"이라고 덧붙였다. 국정기획자문위원회는 지난 6일 2020년까지 공공 웹사이트에서 액티브X를 퇴출하겠다는 계획을 내놨다. 공인인증서는 불가피한 분야가 있다며 중장기 과제로 남겼다.
 
KISA는 공공기관 지방 이전에 따라 지난 3일부터 전라남도 나주시에서 공식 업무를 개시했다. 협력업체 직원 92명을 포함한 KISA 직원 566명이 나주 청사에서 근무하며 서울 청사에는 사이버침해대응본부와 개인정보점검팀 등 174명이 잔류했다. 이로써 KISA는 성남시 판교 정보보호클러스터까지 포함해 3원 청사 체제로 운영된다.
 
KISA는 기관 명칭의 변경도 추진 중이다. 백 원장은 "KISA 업무의 70% 이상이 정보보호인데 기존 명칭과 맞지 않는 부분이 있다"며 "한국인터넷정보보호원으로 명칭을 변경하면 영문 명칭인 코리아 인터넷 시큐리티 에이전시와 맞을 것"이라고 말했다. 민경욱 자유한국당 의원은 지난해 11월 KISA의 명칭을 한국인터넷정보보호원으로 변경하는 내용의 '정보통신망 이용촉진 및 정보보호 등에 관한 법률 일부개정법률안'을 발의했다.
 
 
박현준 기자 pama8@etomato.com
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지
박현준 기자