1600개 IT시스템 전수 점검·직권조사·징벌적 과징금…즉시 실행
CEO 보안책임 명문화, 정보보호 공시 의무 상장사 전체로 확대
통신사 불시 점검 실시…실전 해킹 방식으로 취약점 진단
[서울=뉴스핌] 양태훈 기자 = 정부가 연쇄 해킹 사고를 '국가 비상사태에 준하는 위기 상황'으로 규정하고 사이버 안보 총력전에 돌입했다. 공공·금융·통신 등 국민 생활 핵심 1600여 개 IT 시스템을 전면 점검하고, 기업 신고 없이도 정부가 직권 조사에 나서 보안 부실 기업에는 징벌적 과징금을 부과하는 등 강력한 제재를 가할 예정이다.
22일 배경훈 부총리 겸 과학기술정보통신부 장관은 정부서울청사에서 관계부처 합동 대국민 브리핑을 열고, 이 같은 내용을 담은 '범부처 정보보호 종합대책'을 발표했다. 국가안보실을 중심으로 과학기술정보통신부, 금융위원회, 개인정보보호위원회, 국가정보원, 행정안전부 등이 마련한 이번 대책은 보안을 '비용'이 아닌 '기업의 성패를 가르는 필수 투자'로 전환하는 것이 핵심이다.
배경훈 부총리는 "정부는 최근 통신·금융·공공의 연이은 보안 사고로 인한 국민 피해가 계속되는 상황을 국가 비상사태에 준하는 위기 상황으로 받아들이고 있다"며 "보안 없이는 디지털 전환도, 인공지능(AI) 강국도 사상누각에 불과하다"고 강조했다.
이어 "이번 종합대책은 현 사안의 시급성을 고려해 즉시 실행할 수 있는 단기 과제 위주로 우선 제시했다"며 "국가안보실을 중심으로 중장기적 과제를 총망라하는 국가 사이버안보 전략을 연내에 수립하고 발표할 예정"이라고 덧붙였다.
◆ 1600개 IT 시스템 전수 점검…통신사 불시 점검도 착수
정부는 현 사안의 시급성을 고려해 즉시 실행 가능한 단기 과제 위주로 대책을 구성하고, 이르면 다음 달 중으로 중장기 과제를 총망라한 '국가 사이버안보 전략'을 수립할 계획이다.
다만, 정부는 신속한 피해 예방을 위해 공공·금융·통신 등 국민 대다수가 이용하는 1600여 개 IT 시스템에 대해 대대적인 보안 취약점 점검을 우선 추진한다. 점검 대상은 공공기관 기반시설 288개, 중앙·지방 행정기관 152개, 금융업 261개, 통신·플랫폼 등 정보보호 관리체계(ISMS) 인증기업 949개 등이다.
특히, 정부는 통신사를 대상으로 실제 해킹 방식의 강도 높은 불시 점검을 진행할 예정이다. 주요 IT 자산에 대한 식별·관리 체계를 구축할 방침이며, 소형 기지국 펨토셀의 경우 안정성이 확보되지 않으면 즉시 폐기할 계획이다.
류제명 과학기술정보통신부 2차관은 "통신 3사를 대상으로 실전 모의 해킹 방식으로 운영 중 실전 침투 테스트를 하려 한다"며 "이미 통신 3사로부터 동의를 받았고 외부 전문가들을 활용해 불시 점검 형식으로 취약점 분석을 진행할 예정"이라고 설명했다.
정부는 보안 인증 제도(ISMS, ISMS-P)를 현장 심사 중심으로 전환하고 중대한 결함 발생 시 인증을 취소하는 등의 실효성도 제고할 방침이다. 모의해킹 훈련과 화이트해커를 활용한 상시 취약점 점검 체계도 구축한다.
◆ 해킹 발생 시 소비자 입증책임 완화…직권 조사권 신설
정부는 기업의 해킹 피해가 소비자에게 전가되지 않도록 제도를 개선한다. 보안 결함으로 인한 해킹 발생 시 소비자의 입증 책임 부담을 완화하고, 통신·금융 등 주요 분야는 이용자 보호 매뉴얼을 마련해 소비자 중심의 피해 구제 체계를 구축한다. 개인정보 유출 사고로 인한 과징금 수입을 피해자 지원 등 개인정보 보호에 활용할 수 있도록 기금 신설도 검토한다.
해킹 정황을 확보한 경우 기업의 신고 없이도 정부가 신속히 현장 조사할 수 있도록 조사 권한도 강화한다. 배 부총리는 "기존에는 해킹이나 사고가 발생하고 신고하지 않으면 조처할 수 없었다"며 "직권 조사가 가장 큰 차이점"이라고 이번 대책의 실효성을 강조했다.
또한, 정부는 해킹 지연 신고, 재발 방지 대책 미이행, 개인·신용정보 반복 유출 등 보안 의무 위반에 대해 과태료·과징금 상향, 이행강제금 및 징벌적 과징금 도입 등 제재를 강화한다. 이를 위해 국가정보원의 조사·분석 도구를 민간과 공동 활용하는 한편, AI 기반 지능형 포렌식실을 구축해 분석 시간을 건당 14일에서 5일로 단축하는 등 침해사고 탐지·대응 역량을 고도화할 예정이다.
김창섭 국가정보원 3차장은 이에 대해 "AI 기능을 탑재해 침해 흔적을 용이하게 채집하고 취약점을 자동으로 분석할 수 있는 차세대 사고 조사 도구를 개발했다"며 "올 6월부터 시범 활용 중이며 곧 정식으로 관련 부처에 배포할 예정"이라고 전했다.
◆ 공공부문 정보보호 예산·인력도 대폭 확대
정부는 국가 전반의 정보보호 기반도 강화한다. 내년 1분기부터 공공의 정보보호 예산·인력을 정보화 대비 일정 수준 이상으로 확보하고, 정부 정보보호 담당관을 기존 국장급에서 실장급으로 상향한다. 현재는 정보화 예산 대비 15% 이상의 정보보호 투자를 권고하는 선언적 규정 수준이다.
위기 상황 대응 역량 강화 훈련을 고도화하고, 공공기관 경영평가 시 사이버보안 배점도 0.25점에서 0.5점으로 상향한다.
민간의 경우 정보보호 공시 의무 기업을 현재 666개사에서 상장사 전체(2700여 개사)로 확대하고, 공시 결과를 토대로 보안 역량 수준을 등급화해 국민에게 투명하게 공개하는 제도를 도입한다.
배 부총리는 "기업들이 정보보호 공시를 하면 부담이 될 수도 있지만, 투자를 늘려 안전한 정보보호 체계를 갖추면 소비자들에게 신뢰를 받을 수 있는 기회가 될 것"이라고 강조했다.
금융위원회 역시 현행법 개정 작업을 통해 금융사 대상 정보보호 의무를 강화하기로 했다. 신진창 금융위원회 사무처장은 "금융회사의 경우 대부분 상장되어 있지만 소형 금융회사는 상장되어 있지 않다"며 "전자금융거래법 개정 작업에 비상장 금융회사까지 포함하는 법안을 발의할 예정"이라고 밝혔다.
◆ CEO 보안책임 명문화…CISO 권한 대폭 강화
정부는 민간 기업 최고경영자(CEO)의 보안 책임 원칙을 법령상 명문화하고, 보안 최고 책임자인 정보보호 최고책임자(CISO)·개인정보보호 최고책임자(CPO)의 권한을 대폭 강화할 계획이다. 모든 IT 자산에 대한 통제권 부여, 이사회 정기 보고 의무화, 정보보호 인력·예산 편성·집행 등의 권한을 강화한다.
또, 자체적인 보안 역량이 부족한 중소·영세기업 대상으로는 정보보호 지원센터를 현재 10개소에서 16개소로 확대하는 등 밀착 보안 지원을 강화한다. 신 사무처장은 "금융회사 지배구조법에 따르면 사안에 따라서는 CEO의 해임까지도 이루어지는 징계가 법적으로 가능하다"고 강조했다.
아울러 정부는 금융·공공기관 등이 소비자에게 설치를 강요하는 보안 소프트웨어를 내년부터 단계적으로 제한하는 대신, 다중 인증·AI 기반 탐지 시스템 등을 활용해 보안을 강화한다. 비밀번호, 일회용 비밀번호(OTP), 생체인식 등을 조합한 모바일 신분증 등을 활용할예정이다.
나아가 내년부터 글로벌 보안 환경에 적합하지 않은 획일적인 물리적 망분리는 데이터 보안 중심으로 신속히 전환, 클라우드 보안 요건 개선 등 민간 사업자의 공공 진출 요건 완화도 추진한다.
이용석 행정안전부 디지털정부혁신실장은 "모바일 신분증 같은 경우 처음 인증할 때 얼굴 인증이나 계좌 이체 같은 다각적인 복수 인증 체계를 갖고 있어 더 안전한 인증 체계"라며 "공인인증 체계를 모바일 신분증으로 대체하는 것이 안정성을 강화할 수 있다"고 강조했다.
또한, 공공분야에 사용되는 IT 시스템·제품에 대해 소프트웨어 구성요소(SBOM) 제출을 오는 2027년까지 제도화하고, 보안 문제가 발견된 IT 제품은 공공 조달 도입을 제한한다. 산업용·생활용 IT 제품군(IoT 가전 등)에 대한 보안 평가 공개도 추진한다.
◆ 차세대 보안기업 육성…화이트해커 양성
정부는 AI 3대 강국을 뒷받침할 보안산업 육성을 위해 AI 에이전트 보안 플랫폼 등 차세대 보안 기업을 집중 육성(연 30개사)할 예정이다. 정보보호산업법에 따른 정보보호 서비스의 범위도 현행 보안컨설팅·관제 전문기업에서 AI보안·소프트웨어 공급망보안 등 관련 전문기업으로 확대하기로 했다.
또 보안 최고 전문가인 화이트해커를 연 500여 명 규모로 양성 체계를 기업 수요로 재설계하고, 내년부터 정보보호특성화대학(학부, 7개교), 융합보안대학원(석박사, 9개교)을 5극3특(수도권·동남권·대경권·중부권·호남권 등 5개 초광역권과 제주·강원·전북 등 3개 특별자치도) 권역별 성장엔진 산업에 특화된 보안 인재 양성 허브로 기능을 강화한다.
다가오는 양자 시대를 대비하기 위해 양자내성암호 기술 개발 등 국가적 암호체계 전환을 착수하고, 내년에 공공부문에서 자율주행차, 지능형 로봇, 드론 등 신기술 모빌리티의 안전한 활용을 위한 보안 체크리스트 및 가이드라인을 수립할예정이다.
한편, 정부는 국가 핵심 인프라인 주요정보통신기반시설을 범부처 위원회인 정보통신기반시설보호위원회를 통해 지정을 확대하기로 했다. 기반시설의 사고 원인 조사 단계에서는 침해사고대책본부(국가사이버위기관리단)를 활성화한다는 계획이다.
또 부처별로 파편화된 해킹 사고 조사 과정을 원스톱 신고체계 도입, 조사단별 투입시기 최적화, 상호 정보공유 강화 등으로 체계화해 현장의 혼선을 최소화하기로 했다.
이정렬 개인정보보호위원회 사무처장은 "지난 2023년 법 개정으로 위반 행위에 대해 관련 매출액 3%로 과징금을 상향했다"며 "징벌적 과징금 부분을 포함해 제도 개선 방안을 조만간 마련해 연내에 발표하겠다"고 밝혔다.
* 용어 설명
ISMS (Information Security Management System):정보보호 관리체계. 기업이 정보보호를 위해 수립·운영·관리하는 일련의 절차와 기준을 인증하는 제도.
ISMS-P:ISMS에 '개인정보보호(Privacy)' 항목이 추가된 통합 인증 제도. 공공·금융기관 등 개인정보를 다루는 기업에 적용.
펨토셀 (Femtocell):소형 이동통신 기지국. 건물 내부 등 전파가 약한 지역에 설치해 통신 품질을 개선함. 이번 대책에서 '안정성 미확보 시 즉시 폐기' 대상.
화이트해커 (White-hat hacker):보안 취약점을 찾아내고 개선책을 제시하는 '합법적 해커'. 공격이 아닌 방어 목적의 윤리적 해킹 전문가.
SBOM (Software Bill of Materials):소프트웨어 구성요소 명세서. 프로그램에 포함된 오픈소스·라이브러리·모듈 등을 명시한 목록으로, 공급망 보안 관리에 활용.
양자내성암호 (Post-Quantum Cryptography):양자컴퓨터의 연산 공격에도 안전한 암호 기술. 차세대 보안 핵심 기술로 각국이 개발 중.
AI 포렌식실 (AI Forensic Lab):인공지능을 활용해 사이버 침해 흔적을 빠르게 식별하고 분석하는 디지털 포렌식 시스템.
dconnect@newspim.com
