김미라 기자
배경훈 부총리 겸 과학기술정보통신부 장관이 22일 오후 오후 서울 종로구 정부서울청사 본관 브리핑룸에서 범부처 정보보호 종합대책' 관련 브리핑을 하고 있다. 사진=과학기술정보통신부
[한국의정신문 김미라 기자]
정부가 연이어 발생한 해킹 사고와 개인정보 유출로 인한 국민 불안을 해소하기 위해 범정부 차원의 ‘정보보호 종합대책’을 내놓았다. 공공·금융·통신 등 국민 생활과 밀접한 1,600여 개 정보기술(IT) 시스템의 보안 취약점을 즉시 점검하고, 기업 신고 여부와 관계없이 정부가 해킹 정황을 확인하면 현장 조사를 개시할 수 있도록 조사권을 강화한다.
과학기술정보통신부(장관 겸 부총리 배경훈)는 10월 22일 정부서울청사에서 관계부처 합동으로 이번 대책을 발표하며, “정보보호를 비용이 아닌 성장 투자의 관점으로 전환하고, AI 시대에 걸맞은 사이버보안 체계를 재정비하겠다”고 밝혔다.
우선 정부는 국민이 가장 많이 이용하는 공공기관, 금융사, 통신사 등 주요 IT 인프라를 대상으로 대대적인 보안 점검을 즉시 착수한다. 특히 통신사는 실제 해킹 공격 수준의 불시 점검을 통해 보안 실태를 점검하고, 안정성이 확보되지 않은 소형기지국(펨토셀) 등은 즉시 폐기 조치한다.
또한 보안 인증제도(ISMS, ISMS-P)는 서류 중심 심사에서 벗어나 현장 중심 심사 체계로 전환되며, 중대한 결함 발생 시 인증 취소 등 사후관리 실효성 강화가 추진된다.
이번 대책의 핵심 중 하나는 “피해자 중심의 대응 체계 확립”이다. 기업의 보안 부주의로 인한 해킹 사고 발생 시 소비자의 입증 책임을 완화하고, 통신·금융 등 분야별로 피해 구제 매뉴얼을 마련한다.
개인정보 유출로 인한 과징금 수입은 피해자 지원 등에 활용하기 위한 별도 보호기금 신설이 검토된다.
또한 해킹 정황이 확보되면 기업 신고 여부와 무관하게 정부가 신속히 현장 조사를 개시할 수 있도록 정부의 조사 권한을 대폭 확대한다. 아울러 신고 지연, 재발 방지 미이행, 반복 유출 등 보안 의무 위반 기업에는 과태료·과징금 상향과 함께 징벌적 과징금 및 이행강제금을 부과하는 등 처벌을 강화한다.
정부는 공공기관이 솔선수범해 정보보호 예산과 인력 비율을 일정 수준 이상 확보하도록 하고, 기관 내 정보보호책임관(CISO)의 직급을 기존 국장급에서 실장급으로 상향한다.
또한 사이버보안 역량 평가 비중을 높여 공공기관 경영평가에서 보안 항목의 배점을 0.25점에서 0.5점으로 확대한다.
민간 부문에서는 정보보호 공시 의무 대상을 상장사 전체로 확대하고, 이를 기반으로 기업별 보안 역량을 등급화해 공개하는 ‘정보보호 등급제’를 신설한다. 이를 통해 보안을 단순 비용이 아닌 기업 신뢰의 핵심 투자 항목으로 인식하도록 유도한다.
정부는 글로벌 환경 변화에 맞춰 금융·공공기관이 소비자에게 보안 SW 설치를 강요하는 관행을 단계적으로 폐지하고, 대신 다중 인증 및 AI 기반 이상 탐지 시스템을 도입한다.
또한 클라우드·AI 확산에 따라 현실에 맞지 않는 물리적 망분리를 데이터 보안 중심으로 개편하고, 민간 클라우드 사업자의 공공 진출 요건도 완화한다.
이와 함께 공공 IT 시스템에 사용되는 SW 구성요소(SBOM) 제출 의무를 2027년까지 제도화해 공급망 보안을 강화할 방침이다.
정부는 AI 3대 강국 실현을 위한 기반으로 보안산업을 국가전략 산업으로 육성한다. 차세대 보안 플랫폼을 보유한 유망 기업 30곳을 매년 집중 육성하고, 연 500명 규모의 화이트해커를 양성할 계획이다.
또한 전국 5대 권역별 정보보호특성화대학 및 융합보안대학원을 산업 수요형 인재 양성 허브로 발전시키고, 양자내성암호 기술 등 ‘포스트-양자 시대’ 대응 기술개발에도 착수한다.
국가 핵심 기반시설의 지정 및 관리체계를 강화하고, 사고 원인 분석 및 복구 단계에서는 침해사고대책본부를 활성화한다. 부처별로 분산된 해킹 사고조사 체계를 통합해 민관군이 협력하는 국가사이버위기관리단 중심의 대응 시스템을 강화할 예정이다.
배경훈 부총리 겸 과기정통부 장관은 “이번 대책은 단기 현안 대응뿐 아니라, AI 시대의 지속가능한 사이버안보 체계를 구축하기 위한 출발점”이라며 “정부는 실행 과정을 면밀히 점검해 부족한 부분을 보완하고, 국민이 안심할 수 있는 정보보호 환경을 만들겠다”고 밝혔다.
