이동통신사에 이어 롯데카드에서도 대규모 해킹 사고가 발생하면서, 정부의 사이버보안 대응 체계에 허점이 드러났다는 지적이 커지고 있다. 특히 관련 부처 간 역할과 책임이 명확하지 않아, 초동 대응의 골든타임을 놓칠 수 있다는 우려가 제기된다.

18일 업계에 따르면, 현재 금융기관에서 해킹이나 정보 유출 사고가 발생할 경우, 이는 금융위원회의 감독 아래 금융보안원이 대응을 담당하도록 되어 있다. 이는 전자금융감독규정이라는 금융위 고시에 명시된 내용으로, 금융 분야에 한정된 대응 체계다. 반면 통신사나 일반 기업 등 비금융권에서 벌어지는 보안 사고의 경우, 과학기술정보통신부 산하의 한국인터넷진흥원(KISA)이 대응에 나선다.

문제는 안전 사각지대가 존재한다는 데 있다. 어느 한 분야에 속하지 않는 복합적인 해킹 사건이나, 가령 통신사와 금융회사가 동시에 연루된 사례처럼 영역이 중첩될 경우, 책임 소재와 대응 주체가 불명확해지며 신속한 정보 공유나 초동 대응이 지체될 가능성이 커진다. 최근 발생한 KT의 무단 소액결제 사고에서도 이 같은 부처 간 역할 조율이 원활하지 못했다는 평가가 제기됐다.

롯데카드 해킹 사건은 더욱 심각한 문제를 안고 있다. 960만명이 넘는 회원 정보를 보유한 대형 금융사의 고객 자료 일부가 외부로 유출된 것으로 의심되고 있으며, 피해자 규모가 수십만 명에서 많게는 수백만 명에 이를 수 있다는 우려가 나온다. 금융감독원과 금융위원회가 징계나 행정조치 등 사후 감독 권한은 있지만, 디지털 포렌식(사이버 범죄 기술 분석) 역량에서는 전문성이 부족하다는 비판도 제기된다. 반면, KISA에는 해킹 대응 인력이 130명 이상 확보되어 있지만 금융권 사고에 대해서는 조사 권한이 없어 적극적인 개입이 어렵다.

이러한 분절적 대응체계를 개편하자는 목소리도 정치권에서 나오고 있다. 국회 과학기술정보방송통신위원회 소속 최수진 의원은 정부 부처 간 해킹 대응 정보 공유를 의무화하고, KISA를 모두 해킹 사건의 기술 분석 및 국제 협력 창구로 정하는 한편, 금융위원회는 감독과 징계 기능에 집중하도록 하는 제도 개선 방안을 제시했다.

이 같은 흐름은 사이버 위협이 고도화되고 경계가 모호해지는 현실 속에서, 부처 간 이원적 대응 체계가 한계에 봉착했음을 시사한다. 통합적인 사이버보안 컨트롤타워 구축 논의가 본격화될 가능성이 높아 보인다.