정부 해킹 조사 권한·제재 강화…1600개 공공·금융·통신 보안 점검 착수

범부처 정보보호 종합대책 발표
통신사에 해킹 방식 고강도 불시점검
안정성 확보 안된 펨토셀 즉시 폐기
화이트해커 연 500명 양성 추진
공공기관 경영평가 사이버보안 배점 상향

배경훈 과학기술정보통신부 장관. 과학기술정보통신부 제공

[파이낸셜뉴스] 정부가 공공·금융·통신 등 1600여개 정보기술(IT) 시스템들에 대한 대대적인 보안 취약점 점검에 들어간다. 통신사의 경우 실제 해킹 방식의 강도 높은 불시 점검을 추진하고, 안정성이 확보되지 않은 소형기지국(펨토셀)은 즉시 폐기토록 했다. 기업의 보안 해태로 인한 해킹 발생 시 소비자의 입증책임 부담을 완화한다. 개인정보 유출 사고로 인한 과징금 수입을 피해자 지원 등 개인정보 보호에 활용할 수 있도록 기금 신설도 검토한다.

핵심 IT 시스템 대대적 점검

22일 과학기술정보통신부 등 관계부처는 서울 종로구 정부서울청사에서 브리핑을 열고 이 같은 내용을 담은 '범부처 정보보호 종합대책'을 발표했다.

정부는 분야를 막론하고 반복되는 최근 일련의 해킹 사고를 심각한 위기 상황으로 인식하고 있으며 범정부 차원의 유기적인 대응체계를 즉시 가동한다는 방침이다. 이번 대책은 현 사안의 시급성을 고려해 즉시 실행할 수 있는 단기과제 위주로 제시했다. 연내 중장기 과제를 망라하는 '국가 사이버안보 전략'을 세우기로 했다.

정부는 해킹에 대한 국민들의 만연한 불안감 해소를 위해 공공·금융·통신 등 국민 대다수가 이용하는 1600여개 IT 시스템들에 대해 대대적인 보안 취약점 점검을 즉시 추진한다. 통신사의 경우 실제 해킹 방식의 강도 높은 불시 점검을 추진하고 주요 IT 자산에 대한 식별·관리체계를 구축하도록 했다. 아울러 보안 인증 제도(ISMS, ISMS-P)를 현장 심사 중심으로 전환하고 중대한 결함이 발생할 경우 인증을 취소하는 등 실효성을 제고하고 사후관리를 강화한다. 모의해킹 훈련과 화이트해커를 활용한 상시 취약점 점검 체계도 구축한다.

기업의 보안 해태로 인한 해킹 발생 시 소비자의 입증책임 부담을 완화하고 통신·금융 등 주요 분야는 이용자 보호 매뉴얼을 마련하는 등 소비자 중심의 피해구제 체계를 구축한다. 개인정보 유출 사고로 인한 과징금 수입을 피해자 지원 등 개인정보 보호에 활용할 수 있도록 기금 신설을 추진한다.

이와 함께 해킹 정황을 확보한 경우에는 기업의 신고 없이도 정부가 신속히 현장을 조사할 수 있도록 정부의 조사 권한을 확대한다. 아울러 해킹 지연 신고, 재발 방지 대책 미이행, 개인·신용 정보 반복 유출 등 보안 의무 위반에 대해서는 과태료·과징금 상향, 이행강제금 및 징벌적 과징금 도입 등 제재를 강화한다.

국가정보원의 조사·분석 도구를 민간과 공동 활용하는 한편, AI 기반 지능형 포렌식실을 구축해 분석 시간을 대폭 단축하는 등 침해사고 탐지·대응 역량을 고도화하고 영역별 사고조사 전문인력을 확보·충원에 속도를 낸다.

정부 해킹 조사 권한·제재 강화…1600개 공공·금융

정보보호 투자확대 유도·사이버안보 인력 육성

공공부터 정보보호 역량 강화에 솔선수범하기 위해 내년 1·4분기 내 공공의 정보보호 예산, 인력을 정보화 대비 일정 수준 이상으로 확보하고 정부 정보보호책임관 직급을 기존 국장급에서 실장급으로 상향한다. 위기 상황 대응 역량 강화 훈련 고도화, 공공기관 경영평가 시 사이버보안 배점 상향(0.25→0.5점) 등을 추진한다.

민간의 경우 보안에 대한 인식을 더 이상 비용이 아닌 기업의 성패를 가르는 필수 투자로 전환할 수 있도록 정보보호 공시 의무 기업을 현 666개 상장사에서 2700여개 전체로 확대한다. 공시 결과를 토대로 보안 역량 수준을 등급화해 공개하는 제도를 도입한다.

최고경영자(CEO)의 보안 책임 원칙을 법령상 명문화하고 보안최고책임자(CISO·CPO)의 권한을 대폭 강화한다. 자체적인 보안 역량이 부족한 중소·영세기업 대상으로는 정보보호 지원센터 확대 등을 통해 밀착 보안 지원을 강화한다.

기존 레거시적인 보안 갈라파고스 환경에서 과감히 탈피해 글로벌 변화에 부합하는 보안 환경을 조성하기 위해, 금융·공공기관 등이 소비자에게 설치를 강요하는 보안 소프트웨어(SW)를 내년부터 단계적으로 제한한다. 다중 인증, AI기반 이상 탐지 시스템 등의 활용을 통해 보안을 강화한다. 클라우드, AI 확산 등 글로벌 변화에 부합하지 않은 획일적인 물리적 망분리를 데이터 보안 중심으로 본격 전환하고, 클라우드 보안 요건 개선 등 민간 사업자의 공공 진출 요건 완화를 추진한다.

아울러 공공분야에 사용되는 IT 시스템·제품에 대해 SW 구성요소(SBOM)의 제출을 2027년까지 제도화하고 보안 문제가 발견된 IT 제품은 공공 조달 도입 제한을 추진한다. 산업용·생활용 IT 제품군에 대한 보안 평가 공개 등도 검토한다
AI 3대 강국을 뒷받침할 보안산업 육성을 위해 AI 에이전트 보안 플랫폼 등 차세대 보안 기업을 집중 육성하고, 보안 산업의 저변 확대를 위해 정보보호 서비스의 범위를 확대한다.

아울러 보안 최고 전문가인 화이트해커 연 500명 양성 체계를 기업 수요로 재설계하고 정보보호특성화대학(학부, 7개교), 융합보안대학원(석박사, 9개교)을 5극3특 권역별 성장엔진 산업에 특화된 보안 인재 양성 허브로 기능을 강화하는 등 전주기 보안 인력 양성을 체계화·고도화한다.

다가오는 양자 시대를 대비하기 위해 양자내성암호 기술 개발 등 국가적 암호체계 전환을 착수하고, 공공부문에서 자율주행차, 지능형 로봇, 드론 등 신기술 모빌리티의 안전한 활용을 위한 보안 체크리스트 및 가이드라인을 수립한다.

국가 핵심 인프라인 주요정보통신기반시설을 범부처 위원회인 정보통신기반시설보호위원회를 통해 지정을 확대해 나가고, 기반시설의 사고 원인 조사 단계에서는 침해사고대책본부(국가사이버위기관리단으로 지정)를 활성화한다.

아울러 부처별로 파편화된 해킹 사고조사 과정을 체계화해 현장의 혼선을 최소화하고 민관군 합동 조직인 국가정보원 산하 국가사이버위기관리단과 정부 부처 간의 사이버 위협 예방·대응 협력을 강화한다.

배경훈 부총리 겸 과기정통부 장관은 “과기정통부 등 관계부처는 이번 종합대책이 현장에서 제대로 작동될 때까지 실행 과정을 면밀히 살펴볼 것이며 부족한 부분을 지속적으로 보완해 나가겠다”며 “앞으로도 정부는 AI 강국을 뒷받침하는 견고한 정보보호 체계 구축을 취해 총력을 기울이겠다”고 말했다.

mkchang@fnnews.com 장민권 기자