반복되는 해킹에 국가안보실 중심, 범부처 정보보호 종합대책 발표

article_right_top

국민 불안이 가속화되는 전방위적인 해킹 사고의 심각한 위기 상황을 극복하고 국가 전반의 정보보호 역량을 강화하기 위해 정부가 '범부처 정보보호 종합대책'을 수립하고 10월 22일(수) 대국민 브리핑을 통해 발표했다. 이번 대책은 국가안보실을 중심으로 과학기술정보통신부, 금융위원회, 개인정보보호위원회, 국가정보원, 행정안전부 등 관계부처 합동으로 마련되었으며, 민간과 공공을 아우르는 시급한 개선 과제들을 제시하고 있다.

이 대책은 사안의 시급성을 고려해 즉시 실행할 수 있는 단기과제 위주로 제시되었으며, 중장기 과제를 망라하는 「국가 사이버안보 전략」은 연내 수립될 계획이다. 핵심 IT 시스템 '전수 점검' 착수 및 상시 취약점 탐지 체계 구축정부는 해킹에 대한 국민 불안 해소를 위해 공공·금융·통신 등 국민 대다수가 이용하는 약 1,600여 개 핵심 IT 시스템에 대해 대대적인 보안 취약점 점검을 즉시 추진된다.

점검 대상에는 공공기관 기반시설 288개, 중앙·지방 행정기관 152개, 금융업 261개, 통신·플랫폼 등 ISMS 인증기업 949개 등이 포함된다. 특히, 통신사의 경우 실제 해킹 방식의 강도 높은 불시 점검을 추진하고 소형기지국(펨토셀)은 안정성이 확보되지 않을 경우 즉시 폐기하는 등 보다 엄격히 조치할 계획이다. 아울러, 보안 인증 제도(ISMS, ISMS-P)를 현장 심사 중심으로 전환하고 중대한 결함 발생 시 인증을 취소하는 등 실효성을 제고하며 12, 화이트해커를 활용한 상시 취약점 점검 체계도 구축한다.

‘소비자 중심' 피해 구제 강화기업의 보안 해태로 해킹이 발생했을 때 소비자의 입증책임 부담을 완화하고, 통신·금융 등 주요 분야에 이용자 보호 매뉴얼을 마련하는 등 소비자 중심의 피해구제 체계를 구축한다. 또한, 개인정보 유출 사고로 인한 과징금 수입을 피해자 지원 등 개인정보 보호에 활용할 수 있도록 기금 신설을 검토한다. 기업의 보안 의무 위반에 대한 제재도 대폭 강화된다. 해킹 지연 신고, 재발 방지 대책 미이행, 개인·신용 정보 반복 유출 등 보안 의무 위반에 대해 과태료·과징금을 상향하고, 이행강제금 및 징벌적 과징금 도입을 추진합니다1818. 더불어, 해킹 정황을 확보한 경우 기업 신고 없이도 정부가 신속히 현장을 조사할 수 있도록 조사 권한을 확대된다.

보안은 '비용' 아닌 '투자'로! 정보보호 등급제 도입정부는 보안을 비용이 아닌 기업의 성패를 가르는 필수 투자로 전환할 수 있게, 민간에서는 정보보호 공시 의무 기업을 상장사 전체로 확대하고, 공시 결과를 토대로 기업의 보안 역량 수준을 등급화하여 공개하는 제도를 도입한니다 또한, CEO의 보안 책임 원칙을 법령상 명문화하고 23, 보안최고책임자(CISO·CPO)의 권한을 대폭 강화한다. 공공 부문 역시 정보보호 예산과 인력을 정보화 대비 일정 수준 이상으로 확보하고, 정부 정보보호책임관 직급을 실장급으로 상향하는 등 정보보호 역량 강화에 솔선수범할 계획이다.

배경훈 부총리(겸 과기정통부장관)는 대국민 브리핑에서 "이번 종합대책이 현장에서 제대로 작동될 때까지 실행 과정을 면밀히 살펴보고 부족한 부분을 지속적으로 보완해 나가겠다" 며, "앞으로도 정부는 AI 강국을 뒷받침하는 견고한 정보보호 체계 구축을 위해 총력을 기울이겠다"고 밝혔다.

-이정직기자