[속보] 정부, 해킹 정황 포착 시 기업 신고 없어도 조사 가능해진다

범부처 정보보호 종합대책 발표
IT 시스템 전면 점검…통신사 불시 점검 추진
화이트해커 500명 양성 등 보안 경쟁력 강화

정부가 최근 국민 안전을 위협하는 사이버 침해 사고에 대응하기 위해 해킹 정황이 확인될 경우 기업의 신고 없이도 직접 조사를 진행할 수 있도록 제도를 대폭 강화한다.

과학기술정보통신부와 기획재정부, 금융위원회, 행정안전부, 국가정보원 등 관계부처는 22일 정부서울청사에서 이 같은 내용을 담은 범부처 정보보호 종합대책을 발표했다.
 

▲ 해킹 차단. AI 이미지 생성

■ 해킹 은폐 관행 차단…징벌적 과징금 도입

정부는 민간과 공공 부문을 가리지 않고 반복되는 해킹 사고를 “심각한 위기 상황”으로 규정하고, 국가안보실을 중심으로 한 유기적 대응 체계를 가동하기로 했다.

특히 해킹 사고가 발생했음에도 기업이 이를 은폐하는 관행을 근절하기 위해, 정부가 해킹 정황을 확보할 경우 기업 신고 없이도 현장 조사에 착수할 수 있도록 법·제도 개선을 추진한다.

또한 해킹 지연 신고, 재발 방지 대책 미이행, 개인·신용 정보 반복 유출 등 보안 의무 위반 시 과태료·과징금 상향, 이행강제금 및 징벌적 과징금 제도 도입 등 제재를 강화한다. 개인정보 유출로 발생한 과징금은 피해자 지원을 위한 별도 기금으로 활용하는 방안도 검토 중이다.

■ IT 시스템 전면 점검…통신사 불시 점검 추진

정부는 공공·금융·통신 등 국민 대다수가 이용하는 1600여개 주요 IT 시스템에 대한 대대적인 점검에 착수한다.

특히 최근 해킹 사고가 잇따른 통신사의 경우, 실제 해킹 방식으로 불시 점검을 실시해 보안 취약점을 집중적으로 점검할 예정이다. 통신업계에는 주요 IT 자산의 식별·관리 체계 구축을 의무화하고 보안이 취약한 소형 기지국(펨토셀)은 안전성이 확보되지 않으면 즉시 폐기한다.

아울러 해킹 피해 시 소비자에게 과도한 증명책임이 전가되지 않도록 관련 규정을 개선하고 통신·금융 등 주요 분야에 이용자 보호 매뉴얼을 마련하기로 했다.

■ 상장사 전면 정보보호 공시…보안 인증 강화

정보보호 공시 의무 대상 기업도 현행 666개에서 2,700여개 상장사 전체로 확대된다. 공시 결과를 바탕으로 기업별 보안 역량을 등급화해 공개할 방침이다.

또한 형식적이라는 비판을 받아온 ISMS·ISMS-P 인증 제도를 현장 중심 심사 체계로 개편하고, 기업 CEO의 보안 책임을 명문화하는 법제화도 추진한다.

정부는 국내에 특화된 폐쇄적 보안 환경에서 벗어나기 위해, 금융·공공기관이 이용자에게 설치를 강요해온 보안 소프트웨어를 내년부터 단계적으로 제한한다.

또한 클라우드·AI 확산 등 글로벌 환경 변화에 맞춰, 획일적인 물리적 망 분리 규정을 데이터 중심 보안 체계로 전환한다.

■ 민·관·군 합동 대응 체계 강화…AI 기반 포렌식 도입

국가정보원 산하 국가사이버위기관리단을 중심으로 민·관·군 합동 대응 체계를 강화한다. 국정원의 조사·분석 도구를 민간과 공동 활용하고 AI 기반 지능형 포렌식실을 구축해 해킹 분석 기간을 건당 평균 14일에서 5일로 단축할 계획이다.

공공기관의 정보보호 인력과 예산도 확대된다. 정부 정보보호책임관 직급을 국장급에서 실장급으로 격상하고 공공기관 경영평가에서 사이버 보안 관련 점수를 현재의 두 배로 상향한다.

또한 차세대 AI 보안 기업을 매년 30개사씩 육성하고 화이트해커 500여 명을 양성하는 등 보안 산업 경쟁력 강화를 위한 생태계 조성에 나선다.

정부는 단기 대책에 그치지 않고, 연내에 중장기 과제를 포함한 ‘국가 사이버안보 전략’을 새로 수립해 사이버 위협 대응 체계를 체계적으로 강화할 방침이다.