범정부 사이버보안 대책…징벌적 과징금 도입
통신사에 해킹 방식의 강도 높은 ‘불시 점검’

정부가 잇따르는 사이버 침해 사고를 막기 위해 해킹 정황이 포착되면 기업 신고 없이도 직접 조사에 나서기로 했다. 보안 의무를 위반하면 징벌적 과징금을 부과하는 등 제재를 강화하고, 1600여개 정보기술(IT) 시스템에 대해 점검에도 착수한다.

과학기술정보통신부와 기획재정부, 금융위원회, 행정안전부, 국가정보원 등 관계부처는 22일 정부서울청사에서 이런 내용의 ‘범부처 정보보호 종합대책’을 발표했다. 정부는 민간과 공공에서 반복되는 최근의 해킹 사고를 위기 상황으로 인식하고, 국가안보실을 중심으로 유기적인 대응 체계를 가동하겠다고 밝혔다.

사이버 침해 사고를 은폐하는 관행을 막기 위해 해킹 정황이 확보된 경우에는 기업 신고 없이도 정부가 현장 조사에 나설 수 있도록 제도를 개선한다. 해킹 지연 신고, 재발 방지 대책 미이행, 개인·신용 정보 반복 유출 등 보안 의무를 위반한 주체에 대해서는 과태료·과징금 상향, 이행강제금 및 징벌적 과징금 도입 등 제재를 강화한다. 한국은 개인정보 유출 등 사고에서 매출 3%를 과징금으로 부과하는데, 10%를 매기는 영국 등 사례를 참고해 제재 규모를 확대하는 방안을 검토하기로 했다.

국민 대다수가 이용하는 1600여개 IT 시스템에 대해 전수 점검에 나선다. 특히 정보 유출 시 2차 피해가 큰 통신사에 대해서는 실제 해킹 방식의 강도 높은 ‘불시 점검’이 추진된다. 통신사 외 플랫폼 업계 등 주요 기업은 자체 점검 결과를 CEO가 확인 정부에 제출하도록 했다. 이후 순차적으로 정부가 사후 점검에 착수한다.



내년 상반기부터 정보보호 공시 의무 기업이 상장사 전체로 확대된다. 이에 따라 의무 대상은 현행 666개에서 2700여개로 늘어난다. 공시 결과를 토대로 보안 역량 수준을 등급화해 공개하기로 했다. 유명무실하다는 비판을 받아온 보안 인증 제도(ISMS·ISMS-P)를 현장 심사 중심으로 바꿔 사후 관리를 강화하고, 기업 최고경영자(CEO)의 보안 책임 원칙을 법제화한다.

금융·공공기관 등이 소비자에게 설치를 강요하는 보안 소프트웨어를 내년부터 단계적으로 제한하고 클라우드, 글로벌 변화에 부합하지 않은 획일적인 물리적 망 분리 규정을 데이터 보안 중심으로 바꾼다. 해킹 발생 시 소비자의 증명책임 부담은 완화된다.

국정원의 조사·분석 도구를 민간과 공동 활용하는 한편, 인공지능(AI) 기반 지능형 포렌식실을 구축해 분석 시간을 건당 현행 14일에서 5일 안팎으로 줄인다는 목표를 세웠다. 김창섭 국정원 3차장은 “AI 기능을 탑재한 차세대 보안 사고 조사 도구를 개발해 시범적으로 활용 중인데 민간과 관련 부처에서도 사용할 수 있도록 배포할 예정”이라고 말했다.

아울러 공공의 정보보호 예산·인력을 확충하고, 정부 정보보호책임관 직급을 기존 국장급에서 실장급으로 높인다. 공공기관 경영평가 시 사이버 보안 관련 점수는 지금의 2배로 올린다. 보안 산업 육성을 위해 차세대 AI 보안 기업을 연 30개 사 규모로 육성하고, 보안 전문가인 화이트해커를 연 500여명 배출할 계획이다. 정부는 이번에 나온 단기 전략 외에 중장기 과제를 포함하는 국가 사이버안보 전략 연내 세울 예정이라고 밝혔다.

배경훈 부총리 겸 과기정통부 장관은 “정부는 연이은 보안 사고로 국민 피해가 계속되는 상황을 위기에 준하는 비상사태로 본다”며 “해킹 피해가 소비자에게 전가되지 않도록 구제책을 마련하고 AI 강국을 뒷받침하는 정보보호 체계 구축에 총력을 기울이겠다”고 말했다.