이형석 의원, 랜섬웨어 범죄 고도화 불구 정부 대응력 ‘허점’

- 경찰, 과기부, 인터넷진흥원 등 유관 기관 정보공유 의무 없어 -

- 주요 시설 사이버테러 발생시 경찰 등 신속 대응 힘들수도 -

- 이형석 의원, “관계기관 협조 의무 부과토록 법 개정할 것” -

[추적사건25시 유규상 기자]

날로 고도화되고 있는 랜섬웨어 범죄에 대한 정부 부처간 유기적인 협력 시스템이 미흡해 범죄 대응 능력이 떨어질 우려가 높다는 지적이다.

더불어민주당 이형석 국회의원(광주 북구을)은 26일 열린 행정안전위원회 종합국정감사에서 랜셈웨어 범죄 발생 건수와 범죄 피해액이 늘고 있지만 정부 부처간 유기적인 범죄 대응 시스템에 허점이 있다고 지적했다.

과학기술정보통신부 산하 한국인터넷진흥원(KISA)와 한국침해사고대응팀협의회(CONCERT)가 공동 연구‧발표한 ‘2021 랜섬웨어 스페셜 리포트’에 따르면 지난 2018년 4,878만원 수준이던 국내 랜섬웨서 평균 피해액이 올해는 2억6,083만원으로 5배 이상 증가했다.

전세계적으로는 2015년 3,800억원이었던 랜셈웨어 범죄피해금액이 올해는 23조6천억원으로 기하급수적으로 상승할 것으로 예상되고 있다.

랜섬웨어 범죄도 날로 고도화돼 기존에는 Window에서 피해가 주로 발생했으나, 최근에는 Android, iOS 및 Linux 등 감염되는 시스템의 범위도 넓어지고 있다.

랜섬웨어 피해가 이미 심각한 수준이고 더욱 커질 것으로 예견되고 있지만 정부 부처간 정보 공유마저 제대로 이뤄지지 않고 있는 것으로 나타났다.

일례로 과학기술정보통신부가 집계한 지난 2019년 랜섬웨어 피해신고는 39건인 반면, 경찰청이 파악하고 있는 피해 신고 건수는 270건으로 나타났다.

이는 수사기관과 주무부처가 기본적인 피해 현황조차 공유하지 않고 있기 때문이다.

이는 미흡한 법적 토대 때문이라는 지적도 있다.

현행「정보통신기반 보호법」은 통신사나 금융기관, 정부기관 등 주요정보통신시설에 침해사고가 발생했을 경우 “수사기관, 관계 행정기관, 인터넷진흥원” 중 선택하여 통지하도록 하고 있을 뿐, 침해사고를 통지받은 기관들 간의 상호 정보 공유 의무는 없기 때문이다.

이는 주요 시설에 대한 사이버테러 범죄 발생 시 수사기관이 이를 파악하지 못하는 상황을 야기하거나 피해확산 방지와 범인 검거를 위한 관계 기관 간 유기적인 협력을 저해할 수 있다.

랜섬웨어 범죄 발생 사실의 공유, 사고 대응 과정에서의 유기적 협력 의무를 법률로 명시함으로써 급증하고 있는 사이버테러범죄에 효과적으로 대응할 수 있도록 하고자 합니다.

정보통신기반 보호법 개정을 추진중이다.

이형석 의원은 “고도화되는 범죄에 대응하기 위해서는 과기부와 인터넷진흥원, 수사기관 간 정보공유와 협력 대응 체계를 구축해야 한다”며, “랜섬웨어 범죄 발생 사실의 공유, 사고 대응 과정에서의 유기적 협력 의무를 법률로 명시함으로써 급증하고 있는 사이버테러범죄에 효과적으로 대응할 수 있도록 「정보통신기반 보호법」 개정을 추진중이다”고 전했다.