https://it.chosun.com/news/articleView.html?idxno=2023092142748

 

일정 기간 지나면 삭제되는 로그… 정부 나서 들여다본다

과학기술정보통신부가 해킹 사고 시 서버 접속기록(로그)을 신속히 분석할 수 있는 ‘포렌식센터’ 설립을 추진한다. SK텔레콤 유심 정보 해킹 사태를 계기로, 사고 원인 규명을 위한 디지털 증거 확보 역량이 부족하다는 지적에 따른 후속 대책이다.

19일 관련 업계에 따르면, 과기정통부는 오는 6월 말 민관합동조사단이 발표할 SK텔레콤 해킹 사태 최종 조사 결과에 포렌식센터 구축안을 포함시킬 예정이다. 해당 센터는 사고 발생 시 기업이 자체 보관하는 서버 로그 외에도 정부가 직접 수집·분석에 참여할 수 있도록 설계될 것으로 보인다. 

일정 기간이 지나면 로그 기록을 지우는 기업 관행으로 인해 해킹 사고 시 데이터가 거의 남아 있지 않은 현 상황을 개선하기 위해서다.  기업 해킹 사고가 터졌을 때 정부가 설치한 포렌식센터에서 해당 기업의 로그 기록을 보다 더 많이 또 빠르게 들여다 볼 수 있게 될 것으로 기대된다.

SK텔레콤 서버 로그 분석 중인 과기정통부 민간합동조사단은 5월 19일 2차 중간 조사 발표 당시 회사 로그 기록이 2024년 12월 3일부터 5개월치만 존재한다고 밝혔다. 최초 악성코드가 설치된 2022년 6월 15일부터 2024년 12월 2일까지의 로그 기록이 남아있지 않아 이 시기 자료 유출 여부 자체를 알 수 없는 상황이 됐다. 정부 주도로 포렌식센터가 생기면 앞으로 이 같은 일이 줄어들 것으로 예상된다.

현행 개인정보보호위원회의 '개인정보의 안전성 확보조치 기준'에 따르면 개인정보처리자는 개인정보취급자의 개인정보처리시스템에 대한 접속기록을 1년 이상 보관·관리해야 한다. 다만 5만명 이상의 정보주체에 관한 개인정보를 처리하면 2년 이상 보관해야 한다. 이외에 정보통신망법, 개인정보보호법 등에서도 기업의 로그기록 보관 년수를 정하고 있는데 제각각이다.

업계 관계자는 "서버 종류나 로그가 다양하긴 하지만 정보통신망법, 개인정보보호법 등 관련 법령에 따라 접속기록, 시스템 접근 권한로그를 2년에서 3년까지 보관하고 있다"고 설명했다.

업계는 일단 환영하는 분위기다. 다른 관계자는 "그간 해킹 사고가 터지면 민간이 따로 노는 상황이 많았다"며 "컨트롤타워로 포렌식센터가 생겨 중심을 잡아주면 많은 도움이 될 수 있다"고 기대했다.

다만 부작용도 우려된다. 보안 관련 연구를 맡고 있는 한 교수는 "포렌식은 사후에 분석하기 위한 작업이다. 기업들에 공짜로 포렌식 작업을 해주면 책임감이 떨어질 우려가 있다"며 "보다 치밀하게 상황을 보고 정책을 추진해야 한다"고 말했다. 기업 관계자는 "로그 기록은 기업에 민감한 정보인데 이를 정부가 들여다보면 기업에 부담이 될 수 있다"고 했다.

과기정통부는 사이버보안 역량 강화를 위해 검토한 안으로 당장 결정된 게 없다는 입장이다. 과기정통부 관계자는 "SK텔레콤 사태 이후 법령 개선 등을 검토하면서 언급된 안으로 보인다"며 "아직 확정된 안이 아니다"고 했다.

하지만 과기정통부는 전날 국정기획위원회에도 SK텔레콤 사태 이후 국가 사이버보안 역량 강화를 위한 2026년 재정 확대 방안의 하나로 포렌식센터 구축을 보고하며 건립 의지를 재확인했다. 예상 소요 예산은 +150억원이다.