국가안보실 중심 관계부처 합동 수립, 민·관 아우르는 개선 과제 제시IT 시스템 전수점검, 정부 조사 권한 강화 등 국민 불안 해소정보보호 등급제, CEO 책임·CISO 역할 강화 등 추진
  • ▲ ⓒ뉴데일리DB
    ▲ ⓒ뉴데일리DB
    정부가 최근 잇따르는 전방위적 해킹 사고와 관련해 국가 전반의 정보보호 역량 강화에 나선다. 

    과학기술정보통신부와 관계부처는 22일 대국민 브리핑을 통해 ‘범부처 정보보호 종합대책’을 발표했다. 정부는 분야를 막론하고 반복되는 최근 일련의 해킹 사고를 심각한 위기 상황으로 인식하고 있으며, 범정부 차원의 유기적인 대응체계를 즉시 가동한다는 계획이다.

    이를 위해 국가안보실을 중심으로 과기정통부, 금융위원회. 개인정보보호위원회, 국가정보원, 행정안전부 등 관계부처 합동으로 민간과 공공을 아우르는 범부처 정보보호 종합대책을 수립했다. 이번 대책은 현 사안의 시급성을 고려하여 즉시 실행할 수 있는 단기과제 위주로 제시하고, 이후 중장기 과제를 망라하는 ‘국가 사이버안보 전략’을 연내 수립할 계획이다.

    ‘범부처 정보보호 종합대책’의 주요 추진 방향으로는 ▲국민 생활에 밀접한 핵심 IT 시스템의 대대적인 보안 점검을 추진 ▲소비자 중심의 사고 대응 체계 구축과 재발 방지 대책의 실효성 강화가 추진된다. 이와 함께 ▲민·관 전반의 정보보호 역량을 강화 ▲글로벌 기준에 부합하는 정보보호 환경 조성과 정보보호 산업·인력·기술을 육성 ▲범국가적 사이버안보 협력 체계를 강화하기로 했다.

    우선 해킹에 대한 국민들의 만연한 불안감 해소를 위해, 공공·금융·통신 등 국민 대다수가 이용하는 1600여개 IT 시스템들에 대해 대대적인 보안 취약점 점검을 즉시 추진한다. 특히 통신사의 경우에는 실제 해킹 방식의 강도 높은 불시 점검을 추진하고 주요 IT 자산에 대한 식별·관리체계를 구축하도록 했다. 소형기지국(펨토셀)은 안정성이 확보되지 않을 경우 즉시 폐기하는 등 보다 엄격히 조치할 계획이다.

    보안 인증 제도(ISMS, ISMS-P)를 현장 심사 중심으로 전환하고 중대한 결함이 발생할 경우 인증을 취소하는 등 실효성을 제고하고 사후관리를 강화하는 한편, 모의해킹 훈련과 화이트해커를 활용한 상시 취약점 점검 체계도 구축하기로 했다.

  • ▲ ⓒ뉴데일리DB

    기업의 보안 해태로 인한 해킹 발생 시 소비자의 입증책임 부담도 완화된다. 통신·금융 등 주요 분야는 이용자 보호 매뉴얼을 마련하는 등 소비자 중심의 피해구제 체계를 구축하는 한편, 개인정보 유출 사고로 인한 과징금 수입을 피해자 지원 등 개인정보 보호에 활용할 수 있도록 기금 신설을 검토 중이다.

    해킹 정황을 확보한 경우에는 기업의 신고 없이도 정부가 신속히 현장을 조사할 수 있도록 정부의 조사 권한을 확대하고, 아울러 해킹 지연 신고, 재발 방지 대책 미이행, 개인·신용 정보 반복 유출 등 보안 의무 위반에 대해서는 과태료·과징금 상향, 이행강제금 및 징벌적 과징금 도입 등 제재를 강화하기로 했다.

    아울러 국가정보원의 조사·분석 도구를 민간과 공동 활용하는 한편, AI 기반 지능형 포렌식실을 구축하여 분석 시간을 대폭 단축(건당 14일 → 5일)하는 등 침해사고 탐지·대응 역량을 고도화하고 영역별 사고조사 전문인력을 확보·충원하는데 박차를 가할 예정이다.

    공공부터 정보보호 역량 강화를 위해, 공공의 정보보호 예산, 인력을 정보화 대비 일정 수준 이상으로 확보하고 정부 정보보호책임관 직급을 기존 국장급에서 실장급으로 상향하는 한편, 위기 상황 대응 역량 강화 훈련 고도화, 공공기관 경영평가 시 사이버보안 배점 상향(0.25→0.5점) 등이 추진된다.

    민간의 경우 보안에 대한 인식을 더 이상 비용이 아닌 기업의 성패를 가르는 필수 투자로 전환할 수 있게, 정보보호 공시 의무 기업을 상장사 전체로 확대(666개사 → 2700여개사)하면서 동시에 공시 결과를 토대로 보안 역량 수준을 등급화하여 공개하는 제도를 도입한다.

    CEO의 보안 책임 원칙을 법령상 명문화하고 보안최고책임자(CISO·CPO)의 권한을 대폭 강화하는 한편, 자체적인 보안 역량이 부족한 중소·영세기업 대상으로는 정보보호 지원센터 확대 등을 통해 밀착 보안 지원을 강화한다.

    금융·공공기관 등은 소비자에게 설치를 강요하는 보안 SW를 단계적으로 제한하는 대신 다중 인증, AI기반 이상 탐지 시스템 등의 활용을 통해 보안을 강화하고 획일적인 물리적 망분리를 데이터 보안 중심으로 본격 전환(’26년~)하고, 클라우드 보안 요건 개선 등 민간 사업자의 공공 진출 요건 완화를 추진한다.

    이 외에 ▲보안산업 육성을 위해 AI 에이전트 보안 플랫폼 등 차세대 보안 기업 집중 육성 ▲화이트해커 양성 체계 재설계 ▲정보보호특성화대학·융합보안대학원을 보안 인재 양성 강화 ▲주요정보통신기반시설 지정 등을 추진한다.

    배경훈 부총리는 대국민 브리핑에서 “과기정통부 등 관계부처는 이번 종합대책이 현장에서 제대로 작동될 때까지 실행 과정을 면밀히 살펴볼 것”이라며 “앞으로도 정부는 AI 강국을 뒷받침하는 견고한 정보보호 체계 구축을 취해 총력을 기울이겠다”고 말했다.