[아이뉴스24 안세준 기자] 정부가 잇따른 해킹 사고에 대응해 국가 전반의 정보보호 체계를 전면 재편한다. 공공·통신·금융 등 국민 대다수가 이용하는 IT 시스템에 대한 보안 취약점 점검을 즉시 추진하고, 기업 보안 해태로 인한 해킹 발생 시 소비자 입증책임 부담을 완화한다. 개인정보 유출로 인한 과징금 수입을 피해자 지원 등에 쓰일 수 있도록 하는 기금 신설도 검토한다.
![국가해킹 예방·대응력 강화 전략 요약 이미지. [사진=과기정통부]](https://image.inews24.com/v1/31016f746bff20.jpg)
과학기술정보통신부(부총리 겸 과기정통부장관 배경훈)와 관계 부처는 전방위적인 해킹 사고로 국민 불안이 가속화되는 상황을 신속히 극복하고 국가 전반 정보보호 역량을 강화하기 위한 '범부처 정보보호 종합대책'을 22일 발표했다. 최근 일련의 해킹 사고를 심각한 국가 위기 상황으로 인식하며 범정부 차원 대응 체계를 구축한 것이다.
정부는 국가안보실을 중심으로 과기정통부, 금융위원회, 개인정보보호위원회, 국가정보원, 행정안전부 등 부처 합동으로 종합대책을 수립했다. 사안 시급성을 고려해 즉시 실행할 수 있는 단기과제 위주로 제시했다. 중장기 과제를 망라하는 국가 사이버안보 전략은 연내 수립할 계획이다.
'1600여개 IT시스템 점검'·'사고 대응 체계 구축' 등 4가지 주요 정책 추진
범부처 정보보호 종합대책 주요 정책은 크게 네 가지다. 국민 생활에 밀접한 핵심 IT 시스템의 대대적인 보안 점검 추진을 비롯한 △소비자 중심 사고 대응 체계 구축 및 재발 방지 대책 실효성 강화 △민·관 정보보호 역량을 강화 및 글로벌 기준에 부합하는 정보보호 환경 조성과 정보보호 산업·인력·기술 육성 △범국가적 사이버안보 협력 체계 강화 등이다.
우선 해킹에 대한 국민 불안감 해소하기 위해 공공·금융·통신 등 국민 대다수가 이용하는 1600여개 IT 시스템에 대해 대대적인 보안 취약점 점검을 즉시 추진한다. 각각 공공기관 기반시설 288개, 중앙·지방 행정기관 152개, 금융업 261개, 통신·플랫폼 등 ISMS 인증기업 949개다.
통신사의 경우 실제 해킹 방식과 같은 강도 높은 불시 점검을 추진한다. 주요 IT 자산에 대한 식별·관리체계를 구축하도록 이끌겠다는 취지다. 아울러 소형기지국(펨토셀)은 안정성이 확보되지 않을 경우 즉시 폐기하는 등 조치할 계획이다.
보안 인증 제도(ISMS, ISMS-P)도 개선한다. 현장 심사 중심으로 전환하고 중대한 결함이 발생할 경우 인증을 취소한다. 실효성을 제고하고 사후관리를 강화하겠다는 것이다. 모의해킹 훈련과 화이트해커를 활용한 상시 취약점 점검 체계도 구축한다.
기업 보안 해태로 해킹 발생?⋯소비자 입증책임 낮춘다
기업 보안 해태로 해킹 발생 시 소비자 입증책임 부담도 완화한다. 그동안 해킹 피해자들은 기업 책임을 입증하는 과정에서 어려움을 겪어 왔다. 통신·금융 등 주요 분야에서는 이용자 보호 매뉴얼을 마련하는 등 소비자 중심 피해구제 체계도 구축한다.
개인정보 유출 사고로 인한 과징금 수입을 피해자 지원 등 개인정보 보호에 활용할 수 있도록 기금 신설 또한 검토한다. 해킹 정황을 확보한 경우 기업 신고 없이도 정부가 신속히 현장을 조사할 수 있도록 조사 권한을 확대하기로 했다.
해킹 지연 신고, 재발 방지 대책 미이행, 개인·신용 정보 반복 유출 등 보안 의무 위반에 대해서는 과태료·과징금 상향, 이행강제금 및 징벌적 과징금 도입 등 제재를 강화한다.
정부 정보보호책임관, 실장급으로 상향⋯정보보호 공시 의무, 상장사 전체로 확대
정부는 공공 정보보호 예산과 인력을 정보화 대비 일정 수준 이상으로 확보하기로 했다. 공공부터 정보보호 역량 강화에 솔선수범하기 위해서다. 정부 정보보호책임관 직급을 기존 국장급에서 실장급으로 상향하는 한편, 위기 상황 대응 역량 강화 훈련 고도화하고 공공기관 경영평가 시 사이버보안 배점 상향(0.25→0.5점)을 추진한다.
민간의 경우 정보보호 공시 의무 기업을 상장사 전체로 확대한다. 동시에 공시 결과를 토대로 보안 역량 수준을 등급화해 공개하는 제도를 도입한다.
CEO 보안 책임 원칙을 법령상 명문화하고 보안최고책임자(CISO·CPO) 권한을 대폭 강화한다. 자체적인 보안 역량이 부족한 중소·영세기업 대상으로는 정보보호 지원센터 확대 등을 통해 밀착 보안 지원을 강화한다.
"글로벌 변화에 부합하도록"⋯제도 마련·환경 조성 추진
글로벌 변화에 부합하는 보안 환경을 조성하기 위해 금융·공공기관 등이 소비자에게 설치를 강요하는 보안 SW(소프트웨어)를 단계적으로 제한한다. 대신 다중 인증, AI기반 이상 탐지 시스템 등 활용을 통해 보안을 강화할 방침이다.
클라우드, AI 확산 등 글로벌 변화에 부합하지 않은 획일적인 물리적 망분리를 데이터 보안 중심으로 본격 전환한다. 이외에도 클라우드 보안 요건 개선 등 민간 사업자 공공 진출 요건 완화를 추진한다.
공공분야에 사용되는 IT 시스템·제품에 대해 SW 구성요소(SBOM)의 제출을 2027년까지 제도화한다. 보안 문제가 발견된 IT 제품은 공공 조달 도입 제한을 추진한다. 산업용·생활용 IT 제품군(IoT 가전 등)에 대한 보안 평가 공개 등도 진행한다.
주요정보통신기반시설을 범부처 위원회인 정보통신기반시설보호위원회(위원장 국조실장)를 통해 지정을 확대한다. 기반시설 사고 원인 조사 단계에서는 침해사고대책본부(국가사이버위기관리단으로 지정)를 활성화한다.
배경훈 부총리는 "과기정통부 등 관계 부처는 이번 종합대책이 현장에서 제대로 작동될 때까지 실행 과정을 면밀히 살펴볼 것"이라며 "정부는 AI 강국을 뒷받침하는 견고한 정보보호 체계 구축을 취해 총력을 기울이겠다"고 말했다.
/안세준 기자([email protected])
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기