국가 전반 보안 체계 전면 강화, 해킹 정황 시 정부가 직접 조사
해킹 지연 신고·재발 미이행 기업에 징벌적 과징금 부과
CEO 책임 강화·정보보호 등급제 도입, 중소기업 보안지원센터 16개로 확대
[서울=뉴스핌] 양태훈 기자 = 정부가 최근 잇따른 해킹 사고로 인한 국민 불안을 해소하고 국가 전반의 사이버안보 역량을 강화하기 위한 '범부처 정보보호 종합대책'을 발표했다. 이번 대책은 공공·민간 전 분야의 정보보호 수준을 전면 점검하고, 사고 대응 체계와 산업·인력 기반을 실효성 있게 보강하는 데 초점을 맞췄다.
22일 과학기술정보통신부는 정부서울청사에서 대국민 브리핑을 열고, 국가안보실을 중심으로 금융위원회·개인정보보호위원회·국가정보원·행정안전부 등 관계부처가 합동으로 수립한 '범부처 정보보호 종합대책'을 발표했다.
정부는 이번 대책을 통해 최근 반복되는 해킹 사고를 심각한 위기로 인식하고, 즉시 실행 가능한 단기 과제를 중심으로 대응책을 추진한 뒤 연내 '국가 사이버안보 전략'을 수립할 계획이다.
먼저 정부는 국민 생활과 밀접한 공공·금융·통신 등 1600여 개 핵심 정보기술(IT) 시스템의 보안 취약점을 전수 점검한다. 점검 대상은 공공기관 기반시설 288개, 중앙·지방 행정기관 152개, 금융업 261개, 정보보호 관리체계(ISMS) 인증 기업 949개다. 특히 통신사는 실제 해킹 방식을 적용한 강도 높은 불시 점검을 실시하고, 안정성이 확보되지 않은 소형기지국(펨토셀)은 즉시 폐기할 방침이다.
또한 ISMS와 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증 제도를 현장 중심으로 전환하고, 중대한 결함이 발생할 경우 인증을 취소하는 등 사후관리 실효성을 강화한다. 화이트해커를 활용한 상시 취약점 점검 체계도 함께 구축해 선제적 대응 역량을 높인다.
소비자 보호 측면에서는 해킹 피해 시 소비자의 입증책임을 완화하고, 통신·금융 분야별 이용자 보호 매뉴얼을 마련한다. 개인정보 유출 사고로 인한 과징금 수입을 피해자 지원 등 개인정보 보호에 활용할 수 있도록 개인정보보호기금 신설도 검토된다.
정부는 해킹 정황이 확인될 경우 기업 신고 없이도 직접 현장 조사를 수행할 수 있도록 조사권을 확대하고, 해킹 지연 신고나 재발 방지 대책 미이행, 개인·신용정보 반복 유출 등 보안 의무 위반 기업에는 과징금·이행강제금·징벌적 과징금 등 제재를 강화할 계획이다.
또한 AI 기반 지능형 포렌식 시스템을 구축해 침해사고 분석 기간을 기존 14일에서 5일로 단축하고, 국가정보원의 조사·분석 도구를 민간과 공동 활용하는 등 사고 대응 역량을 고도화한다.
공공·민간의 정보보호 투자를 확대하기 위한 제도 개편도 병행된다. 정부는 내년 1분기까지 공공기관의 정보보호 예산과 인력을 정보화 대비 일정 수준 이상으로 확보하도록 하고, 공공기관 경영평가 시 사이버보안 배점을 0.25점에서 0.5점으로 상향한다.
민간 부문에서는 정보보호 공시 의무 대상을 상장사 전체(약 2700여 개사)로 확대하고, 공시 결과를 기반으로 기업의 보안 수준을 등급화해 공개하는 정보보호 등급제를 도입한다. 최고경영자(CEO)의 보안책임을 법령상 명문화하고, 정보보호 최고책임자(CISO)·개인정보보호 최고책임자(CPO)의 권한을 IT 자산 통제권 부여·이사회 정기 보고 의무화 등으로 강화한다.
또한 자체 보안 역량이 부족한 중소기업을 위해 정보보호 지원센터를 10개소에서 16개소로 확대해 밀착형 지원을 강화할 예정이다.
정부는 글로벌 환경 변화에 맞춰 기존의 레거시 보안 환경에서 탈피해, 금융·공공기관 등이 이용자에게 설치를 강요하는 보안 소프트웨어를 오는 2026년부터 단계적으로 제한하고, 대신 다중 인증과 AI 기반 이상 탐지 시스템을 활용해 보안을 강화한다.
또한 클라우드·AI 확산 등 변화에 대응해 획일적 물리적 망분리 정책을 내년부터 데이터 보안 중심으로 전환하고, 민간 사업자의 공공 시장 진입 요건을 완화하기 위한 클라우드 보안 요건 개선도 추진한다.
공공 분야에서 사용하는 IT 시스템·제품에 대해서는 소프트웨어 구성요소(SBOM) 제출을 오는 2027년까지 제도화하고, 보안 결함이 발견된 제품은 공공 조달 도입 제한 제도를 마련한다. 또한 산업용·생활용 IT 제품군(IoT 가전 등)에 대한 보안 평가 결과 공개 제도도 병행 추진된다.
정보보호 산업 경쟁력 확보를 위해 정부는 AI 보안·SW 공급망 보안 전문기업 등 연 30개사 육성, 정보보호 서비스 지정 범위를 AI보안·SW공급망보안 등으로 확대한다. 또한 화이트해커 연 500명 양성 체계를 재설계하고, 정보보호특성화대학(7개교)과 융합보안대학원(9개교)을 내년부터 권역별 산업특화 보안 인재 양성 허브로 기능을 강화한다.
정부는 다가오는 양자컴퓨팅 시대에 대비해 양자내성암호 기술 개발 및 국가 암호체계 전환에 착수하고, 공공부문 자율주행차·지능형 로봇·드론 등 신기술 모빌리티 보안 체크리스트 및 가이드라인을 오는 2026년까지 수립할 계획이다.
아울러 국가 사이버안보 협력 강화를 위해 정보통신기반시설 지정 확대, 침해사고대책본부(국가사이버위기관리단) 활성화, One-Stop 신고체계 구축, 민·관·군 합동 대응체계 고도화 등을 추진한다.
배경훈 부총리 겸 과기정통부 장관은 "이번 종합대책이 현장에서 제대로 작동할 때까지 면밀히 점검하고 부족한 부분을 지속 보완하겠다"며 "AI 강국을 뒷받침하는 견고한 정보보호 체계 구축에 총력을 기울이겠다"고 말했다.
dconnect@newspim.com
