정부가 해킹사고를 방지하기 위해 공공·금융·통신 등 1600여개 정보기술(IT) 시스템의 보안 취약점을 점검한다. 특히 통신사를 대상으로 강도 높은 불시 점검을 추진한다. 앞으로는 기업의 해킹 사고 신고가 없어도 정부가 신속히 현장을 조사할 수 있다. 이와 함께 모든 상장사에게 정보보호 공시 의무를 부과해 등급을 매기고 소비자의 피해 입증 책임을 완화한다.

과학기술정보통신부는 22일 관계부처와 함께 '범부처 정보보호 종합대책'을 수립했다고 발표했다. 국가안보실을 중심으로 과기정통부, 금융위원회, 개인정보보호위원회, 국가정보원, 행정안전부 등이 범정부 대응체계를 즉시 가동한다.

범부처 정보보호 종합대책의 주요 추진 방향은 △생활 밀접 IT 시스템 보안 점검 추진 △소비자 중심 사고 대응 체계 구축과 재방 방지 대책의 실효성 강화 △민·관을 아우르는 국가적 정보보호 기반 강화 △범국가적 사이버안보 협력 체계 강화다.

중대 결함 발생시 ISMS 인증 취소

정부는 해킹에 대한 국민의 불안감을 해소하기 위해 공공·금융·통신 등 국민 대다수가 이용하는 1600여개 IT 시스템의 보안 취약점을 즉시 점검한다. 공공기관 기반시설 288개, 중앙·지방 행정기관 152개, 금융업 261개, 통신·플랫폼 등 ISMS 인증기업 949개 등이 대상이다.

특히 통신사를 대상으로 실제 해킹 방식의 강도 높은 불시 점검을 추진한다. 주요 IT 자산에 대한 식별·관리체계를 구축하도록 한다. KT 무단 소액결제의 발단인 소형기지국(펨토셀)은 안정성이 확보되지 않을 때 즉시 폐기하는 등 조치 강도를 높인다.

정부는 보안인증제도 실효성을 강화한다. SK텔레콤, KT 등 통신사도 ISMS 인증을 받았지만 해킹 사고를 피하지 못해 실효성이 부족하다는 지적이 나왔다. 이에 정부는 정보보호관리체계(ISMS), 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)를 현장 심사 중심으로 전환하고 중대한 결함이 발생하면 인증을 취소한다. 모의해킹 훈련과 화이트해커를 활용한 상시 취약점 점검 체계도 구축한다.

기업 신고 없어도 해킹 현장 조사

정부는 해킹 정황을 확보했을 때 기업의 신고가 없어도 신속히 현장 조사를 실시할 수 있도록 조사 권한을 확대한다. 해킹 지연 신고, 재발 방지 대책 미이행, 개인·신용 정보 반복 유출 등 보안 의무 위반에 대해서는 과태료·과징금 상향, 이행강제금 및 징벌적 과징금 도입 등 제재를 강화한다.

정부는 국가정보원의 조사·분석 도구를 민간과 공동 활용한다. 인공지능(AI) 기반 지능형 포렌식실을 구축해 분석 시간을 건당 14일에서 5일로 단축하는 등 침해사고 탐지·대응 역량을 고도화한다.

이와 함께 정부는 기업의 보안 해태로 발생한 해킹 피해 발생 시 소비자의 입증 책임 부담 완화 방안을 마련한다. 개인정보 유출 사고로 인한 과징금 수입을 피해자 지원에 활용할 수 있도록 기금 신설을 검토한다.

상장사 정보보호 공시 의무 부과

정보보호 공시 의무 기업이 현행 666개에서 2700여개로 확대된다. 모든 상장사를 대상으로 정보보호 공시 의무를 부과하면서다. 동시에 공시 결과로 보안 역량 수준을 등급화해 공개하는 제도를 도입한다.

또 최고경영자(CEO)의 보안 책임 원칙을 법령상 명문화하고 보안최고책임자(CISO·CPO)의 권한을 대폭 강화한다. 모든 IT 자산에 대한 통제권 부여, 이사회 정기 보고 의무화 등을 통해서다. 보안에 대한 인식을 비용이 아닌 기업의 성패를 가르는 필수 투자로 전환하겠다는 취지다.

정부는 2026년부터 획일적인 물리적 망분리를 데이터 보안 중심으로 전환한다. 특히 금융사는 내부망과 외부망을 물리적으로 분리해 보안을 운영했는데, 최근 롯데카드 해킹 사고가 발생하면서 보안 취약점이 드러난 바 있다. 또 기존 획일적인 망분리가 클라우드, AI 확산 등 글로벌 변화에 부합하지 않는다.

범국가적 사이버안보 협력

정부는 국가 핵심 인프라인 주요정보통신기반시설을 범부처 위원회인 정보통신기반시설보호위원회를 통해 지정을 확한다. 기반시설의 사고 원인 조사 단계에서는 침해사고대책본부(국가사이버위기관리단으로 지정)를 활성화한다. 아울러 부처별로 파편화된 해킹 사고조사 과정을 체계화하고 민관군 합동 조직인 국가정보원 산하 국가사이버위기관리단과 정부 부처 간의 사이버 위협 예방·대응 협력을 강화한다.

이 외에 정부는 연 500여명의 화이트해커 양성 체계를 기업 수요로 재설계한다. 양자 시대를 대비하기 위해 양자내성암호 기술 개발 등 국가적 암호체계 전환을 착수하고, 공공부문에서 자율주행차, 지능형 로봇, 드론 등 신기술 모빌리티의 안전한 활용을 위한 보안 체크리스트 및 가이드라인을 수립한다.

정부는 연내 중장기 정보보호 과제를 망라하는 '국가 사이버안보 전략'을 수립할 계획이다.

윤상은 기자