금융·통신 등 실생활에 밀접한 분야에서 해킹 사고가 일어나고 있는 가운데, 정부가 기업의 신고 없이도 직접 조사할 수 있는 권한을 강화한다. 또한 보안 의무 위반에 대해서는 과태료·과징금 상향, 이행 강제금·징벌적 과징금 도입 등 제재를 기존보다 강화하고, 전국 1600여개 핵심 IT 시스템에 대한 대대적인 보안 점검에 착수한다.
과학기술정보통신부와 기획재정부, 금융위원회, 행정안전부, 국가정보원 등 관계부처는 22일 정부서울청사에서 이러한 내용을 담은 ‘범부처 정보보호 종합대책’을 발표했다.
과기정통부를 비롯한 관계부처는 공공과 민간을 가리지 않고 반복되는 해킹 사고를 심각한 국가적 위기로 인식하고, 국가안보실을 중심으로 범정부 차원의 유기적 대응체계를 즉시 가동한다고 밝혔다.
배경훈 부총리는 “이번 점검은 1600개 핵심 기업을 대상으로 한 단기 목표지만, 이외에도 점검이 필요한 기관들이 많다”며 “정부가 직접 모든 기업을 검수하기는 어려운 만큼, 모의훈련이나 화이트해커 참여 등 다양한 방식으로 1600개 외 기업들도 자율적으로 시스템을 점검할 수 있도록 지원 대책을 추가로 마련하겠다”고 말했다.
우선 해킹 사실을 은폐, 축소하는 관행을 막기 위해, 해킹 정황 발견시 정부는 기업 신고 없이도 현장 조사를 실시할 수 있도록 제도를 개선한다. 또한 해킹 지연 신고나 재발 방지 미이행, 개인정보 반복 유출 등 보안 의무 위반에는 과징금 상향과 징벌적 제재를 적용할 계획이다.
류제명 과기정통부 제2차관은 “통신3사 망은 모의해킹이 아닌 실전 침투 테스트 방식으로 점검하기로 했다"며 "점검은 통신3사로부터 동의를 받았다. 외부 민관 전문가를 투입해 조사를 진행하고, 다른 주요 기업들은 보안최고책임자(CISO)가 자체 점검 후 결과를 대표(CEO)가 확인해 정부에 제출하도록 했다”고 말했다.
징벌적 과징금 수준도 확대될 예정이다. 현재 국내법상 개인정보 유출 사고 시 매출의 3%를 과징금으로 부과하지만, 영국(10%) 등 해외 사례를 참고해 제재 수준을 높이는 방안도 검토 중이다.
류제명 차관은 “기업들의 침해사고 신고 지연에 대해 고의성 여부뿐 아니라 구조적 원인도 함께 살펴보고 있다”며 “지연 신고에 대한 처벌보다는 신속한 대응을 유도하는 방향으로 제도를 설계하겠다”고 밝혔다. 이어 “징벌적 과징금 제도와 관련해 자발적 신고 시 감경 사유로 인정하는 방안을 검토 중”이라며 “기업들이 침해 여부를 명확히 판단할 수 있도록 직원 조사 제도와 판단 체계를 마련하겠다”고 덧붙였다.
금융위 측은 금융감독원을 통해 260개 금융사 시스템을 조사하고 있다"며 "금융권의 경우 피해 매출 분야의 5배까지 손해배상을 할 수 있는데, 이에 대한 수준을 더 높이려고 한다"고 밝혔다.
과징금 도입은 전자금융거래법 개정이 필요해 정부는 개정안을 직접 발의해 정기 국회에서 논의될 수 있도록 추진중이다.
아울러 개인정보 유출 관련 과징금 수입을 피해자 지원 등에 활용하기 위한 전용 기금 신설도 추진한다.
정부는 국민이 주로 이용하는 공공·금융·통신 등 1600여개 IT 시스템에 대한 집중 점검에 착수했으며, 특히 최근 사고가 잇따른 통신사는 실제 해킹 방식을 모사한 불시 점검을 진행할 계획이다.
통신사와 플랫폼 기업 등 주요 사업자는 자체 점검 결과를 CEO 결재를 거쳐 정부에 제출해야 하며, 이후 정부가 사후 점검을 실시한다.
또한 통신사는 주요 IT 자산의 식별·관리 체계를 구축하고, 해킹에 악용된 것으로 지목된 초소형 기지국(펨토셀)은 안전성이 확보되지 않으면 즉시 폐기한다.
해킹 발생 시에는 소비자의 입증 책임을 완화하고, 통신·금융 등 주요 분야에 이용자 보호 매뉴얼을 마련해 피해 구제 절차를 강화한다.
내년 상반기부터는 정보보호 공시 의무 대상을 상장사 전체로 확대해, 대상 기업을 현행 666개에서 2700여개로 늘리고 공시 결과에 따라 보안 수준을 등급화해 공개한다.
또한 유명무실하다는 지적을 받아온 보안 인증 제도(ISMS·ISMS-P)를 현장 심사 중심으로 전환하고, 기업 CEO의 보안 책임 원칙을 법제화한다.
아울러 금융·공공기관이 소비자에게 보안 프로그램 설치를 강요하는 관행을 내년부터 단계적으로 제한하고, 클라우드·AI 확산에 맞춰 물리적 망 분리 규정을 데이터 보안 중심으로 전환한다.
정부는 국정원 산하 국가사이버위기관리단을 중심으로 민·관·군 합동 협력 체계를 강화하고, AI 기반 지능형 포렌식 시스템을 도입해 보안 사고 분석 시간을 기존 14일에서 5일로 단축할 계획이다.
공공기관에는 정보보호 예산과 인력 확충, 정보보호책임관 직급 상향(국장급→실장급), 경영평가 내 사이버보안 점수 2배 상향 등을 추진한다.
보안 산업 육성 측면에서는 차세대 AI 보안 기업을 연 30개씩 집중 육성하고, 화이트해커를 연 500명 규모로 양성하는 인재 프로그램을 마련한다.
정부는 이번 단기 대책에 이어 중장기 과제를 포함한 ‘국가 사이버안보 전략’을 연내 수립할 계획이다.
최연재 기자ch0221@ajunews.com
기자의 다른기사
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지
![[르포] 중력 6배에 짓눌려 기절 직전…전투기 조종사 비행환경 적응훈련(영상)](https://image.ajunews.com/content/image/2024/02/29/20240229181518601151_258_161.jpg)
