GSMA 보고서…"처벌·비난 중심 문화도 문제"

GSMA 보고서 갈무리.

<이미지를 클릭하시면 크게 보실 수 있습니다>

"사이버 보안 업무 가운데 80%가 감사 컴플라이언스(규제 준수) 분야입니다. 그러니 실제 사이버 위협에 대응하는 업무를 하기 어렵죠."(아시아·태평양 지역 이동통신사업자)

전세계적으로 사이버 보안 위협이 증가하고 있으나 이를 다루는 정부 규제가 형식적이고 복잡한 탓에 기업들의 대응력이 떨어진다는 분석이 나왔다. 세계이동통신사업자연합회(GSMA)는 최근 발간한 '사이버 보안 규제가 이동통신사업자에게 미치는 영향' 보고서에서 "이동통신사업자들은 현재 사이버 보안 활동에 190억달러(27조9400억원)를 지출하고 있는데, 최근 사이버 공격이 증가하면서 이러한 비용이 오는 2030년 420억달러(61조7700억원)까지 증가할 것"이라며 이같이 밝혔다.

GSMA는 이어 "사이버 위협의 증가로 규제의 역할도 중요해졌다"며 "그러나 많은 국가의 이동통신사업자들은 여러 규제 기관의 규제가 뒤섞인 규제 환경에 직면하고 있다"고 지적했다. 그러면서 "이는 실제 위험 완화가 아닌 형식적인 규제 준수 작업에 자원을 투입하게 만든다"고 했다.

한국의 경우도 마찬가지다. 개인정보보호와 관련한 정부 기능은 주무부처인 개인정보보호위원회만 담당하는 게 아니라 신용정보법과 위치정보법에 따라 각각 금융위원회, 방송미디어통신위원회(옛 방송통신위원회) 등으로 분산되면서 사실상 컨트롤타워가 나뉘어있는 상태다. 올해 4월 발생한 SK텔레콤 해킹 관련 조사도 과학기술정보통신부와 개인정보위가 별도로 움직였고, SKT는 두 곳 모두를 상대해야 했다.

GSMA는 "일부 사업자는 사이버보안 운영팀 자원의 절반가량이 실제 위협 식별이나 위험 관리보다는 규정 준수 작업에 투입된다고 보고했다"며 "이러한 비효율성은 혁신에 대한 투자를 위축시키고, 궁극적으로는 더 높은 사고 발생 가능성을 초래할 수 있다"고 경고했다.

또 "규제 당국이 처벌이나 비난 중심의 문화를 유지할 경우 사업자들이 책임 회피에 중점을 두게 되는 등 변질될 수 있다"고 우려했다. 사이버 위협 예방과 사후 조사를 제대로 하려면 이동통신사업자들의 협조가 필수적인데, 처벌이 과할 경우 보안 취약점이나 피해 사실을 감추는데 집중하는 등 부작용이 속출할 것이란 얘기다.

실제로 최근에 고객 개인정보유출 사고를 겪은 기업들은 신속한 신고로 2차 피해를 줄이는 노력보다는 규제당국이 정한 신고기한을 지키는데 급급하고 개인정보 '유출'이 아니라 '노출'이라는 애매한 표현을 쓰는가 하면 유출 규모도 뒤늦게 알리는 등의 모습을 보이고 있다.

GSMA는 끝으로 "사이버 보안 규제의 단편화, 다양한 규제의 중복·충돌 방지로 일관성 유지, 위험 및 성과 기반의 규제 설계, 통신업계와 협력적 규제 문화, 예방을 강조하는 접근 방식, 규제당국의 역량 강화 등의 원칙을 갖춰야 안전한 모바일 네트워크 서비스가 가능하다"고 강조했다.

ⓒ비즈니스워치(www.bizwatch.co.kr) - 무단전재 및 재배포금지