해킹 정황 있으면 기업 신고 없어도 조사···정부, 정보보호 종합대책 발표

배경훈 부총리 겸 과학기술정보통신부 장관이 22일 서울 종로구 정부서울청사 본관 브리핑룸에서 ‘범부처 정보보호 종합대책’ 관련 브리핑을 하고 있다. 왼쪽부터 이용석 행정안전부 디지털정부혁신실장, 신진창 금융위원회 사무처장, 김창섭 국가정보원 제3차장, 배경훈 부총리, 류제명 과학기술정보통신부 제2차관, 이정렬 개인정보보호위원회 사무처장(부위원장 직무대리). 과기정통부 제공

국가 기간통신사와 금융기업, 정부 업무시스템까지 해킹 사고가 잇따르자 정부가 국가 전반의 정보보호 역량을 강화하기 위한 종합대책을 내놨다. 국민 다수가 이용하는 공공·민간 정보기술(IT) 시스템의 취약점 즉시 점검, 정부의 조사권한 확대, 과징금 상향, 획일적인 망분리 체계를 ‘데이터 보안’ 중심으로 전환하는 내용 등이 담겼다.

과학기술정보통신부와 기획재정부, 금융위원회, 개인정보보호위원회, 행정안전부는 22일 “전방위적인 해킹 사고로 국민 불안이 가속화되는 현 상황을 신속히 극복하겠다”면서 범부처 정보보호 종합대책을 발표했다. 이번 대책은 민간과 공공을 아울러 즉시 실행할 수 있는 단기 과제 위주로 짜여졌고, 중장기 과제를 망라하는 ‘국가 사이버안보 전략’은 연내 수립하게 된다.

이날 공개된 대책은 ‘핵심 IT 시스템 즉시 점검’ ‘소비자 중심 대응체계 구축’ ‘정보보호 투자확대 유도’ ‘보안산업의 국가전략 산업화’ ‘범국가적 사이버안보 협력 강화’ 등 네 가지 축으로 구성돼 있다.

먼저 정부는 공공·금융·통신 등 국민 대다수가 이용하는 1600여개 IT 시스템에 대한 대대적인 보안 취약점 점검을 즉시 추진키로 했다. 공공기관 기반시설 288개, 중앙·지방 행정기관 152개, 금융업 261개, 통신·플랫폼 등 정보보호 관리체계(ISMS) 인증기업 949개의 IT 시스템이 대상이다. 특히 통신사의 경우에는 실제 해킹 방식을 고려해 강도 높은 불시 점검을 추진한다. 소형 기지국(펨토셀)은 안정성이 확보되지 않을 경우 즉시 폐기토록 조치한다.

아울러 정보보호 관리체계 인증제도(ISMS, ISMS-P)의 실효성을 높이는 방안도 추진된다. 현장 심사 중심으로 전환하고 중대한 결함이 발생할 경우 인증을 취소할 예정이다. 모의 해킹 훈련과 화이트해커를 활용한 상시 취약점 점검 체계도 구축한다.

‘소비자 중심의 대응 체계 구축’을 위해서는 해킹 사고 발생 시 소비자 입증 책임 부담을 완화하고 통신·금융 분야에선 이용자 보호 매뉴얼을 마련케 한다. 또한 개인정보 유출 사고로 인한 과징금 수입으로 기금을 만들어 피해자 지원 등 개인정보 보호에 활용할 수 있도록 마련한다.

또한 해킹 정황을 확보하면 정부가 기업 신고 없이도 신속히 현장 조사에 나설 수 있도록 조사 권한을 확대한다. 해킹 지연 신고, 재발 방지 대책 미이행 등 보안 의무를 지키지 않을 경우 과태료·과징금 상향, 이행강제금 및 징벌적 과징금 도입 등 제재를 강화한다.

정보보호 투자 확대를 위해 공공부터 예산·인력을 확대한다. 정부의 ‘정보화 예산’ 대비 15% 이상을 보안에 투자키로 하고, 정부 정보보호책임관 직급을 기존 국장급에서 실장급으로 격상하며, 공공기관 경영평가 시 사이버보안 배점을 상향(0.25→0.5점)한다.

배경훈 부총리 겸 과학기술정보통신부 장관이 22일 서울 종로구 정부서울청사 본관 브리핑룸에서 ‘범부처 정보보호 종합대책’을 발표하고 있다. 과기정통부 제공

민간의 경우 정보보호 공시 의무 기업을 상장사 전체로 확대(현재 666개사→ 약 2700여개사)하고 보안최고책임자(CISO·CPO)가 모든 IT 자산에 대한 통제권을 가질 수 있도록 권한을 대폭 강화케 한다. 보안 역량이 부족한 중소·영세기업은 정보보호 지원센터의 확대 운영을 통해 보안 지원을 강화한다.

또 금융·공공기관이 설치를 강요하는 보안 소프트웨어를 내년부터 단계적으로 제한하는 대신, 다중 인증(비밀번호·생체인식 등 조합)과 인공지능(AI) 기반 이상 탐지 시스템 등을 활용해 보안을 강화한다. ‘갈라파고스’와 같은 기존 보안에서 과감히 탈피, 글로벌 변화에 부합하고 소비자가 편리한 환경으로 탈바꿈하겠다는 구상이다. 내년부터 획일적·물리적 망 분리를 데이터 보안 중심으로 본격 전환하며 클라우드 보안 요건을 개선해 민간 사업자의 공공 진출 요건 완화도 추진한다.

강력한 보안 산업은 AI 3대 강국의 전제가 되는 만큼 AI 에이전트 보안 플랫폼 등 차세대 보안 기업을 집중 육성한다. 보안 최고 전문가인 화이트 해커도 연간 500명 규모로 양성하는 체계도 재설계한다는 계획이다.

끝으로, 국가 핵심 인프라인 주요정보통신기반시설 지정을 범부처 위원회인 정보통신기반시설보호위원회를 통해 확대해 나간다. 또 부처별로 흩어진 해킹 사고조사 과정에 ‘원스탑 신고체계’를 도입하는 등 체계화해 현장 혼선을 최소화하고, 민관군 합동 조직인 국가정보원 산하 국가사이버위기관리단과 정부 부처 간의 사이버 위협 예방·대응 협력을 강화한다.

배경훈 부총리 겸 과기정통부 장관은 이날 대국민 브리핑에서 “과기정통부 등 관계부처는 이번 종합대책이 현장에서 제대로 작동될 때까지 실행 과정을 면밀히 살펴볼 것이며 부족한 부분을 지속적으로 보완해나겠다”고 말했다.

최민지 기자 ming@kyunghyang.com