12월 '국가 사이버안보 전략' 발표 앞두고 단기 대책 가동
중대 위반엔 징벌적 과징금, 자진 신고엔 감경 추진
통신·금융·공공 1600개 시스템 전수점검…ISMS 현장화
연말까지 보안 인센티브 등 민간 자율투자 유도 방안도
정부가 잇단 해킹 사태를 위기에 준하는 비상사태로 보고, 통신·금융·공공 전 분야에 대한 전면 점검과 제도 개편에 착수했다. 해킹 정황이 있는 기업은 신고가 없어도 직권조사할 수 있는 권한을 강화하는 등 사고 은폐와 재발을 막기 위한 강도 높은 대응 체계를 가동한다.
22일 서울 정부종합청사에서 열린 범부처 정보보호 종합대책 브리핑에서 배경훈 과기부총리 겸 과학기술정보통신부 장관은 "국민 생활과 맞닿은 약 1600개 IT 시스템을 즉시 점검하고 통신 3사에는 동의에 기반한 실전 침투형 점검을 시행한다"고 밝혔다. 점검 과정에서 안전성이 확보되지 않은 소형기지국(펨토셀)은 즉시 폐기하고, 화이트리스트 등록을 통해 미확인 장비의 망 접속을 차단한다.
배 부총리는 "기업 해킹으로 인한 피해가 소비자에게 전가되지 않도록 소비자 중심의 피해구제 체계를 확립하겠다"며 "해킹 정황이 포착되면 기업의 신고가 없어도 정부가 직권조사에 착수할 수 있도록 근거를 마련하고, 지연 신고나 재발 방지 미이행 기업에는 징벌적 과징금과 이행강제금 등 제재를 강화하겠다"고 말했다. 다만 "제재 중심이 아니라 보안 투자를 유도하는 방향으로도 대책을 만들고 있다"며 "적극적으로 투자하는 기업에는 인센티브를 부여하는 방안도 검토 중"이라고 덧붙였다.
이날 이루어진 질의응답에서 류제명 과기정통부 2차관은 "통신 3사로부터 실전 침투 테스트에 대한 동의를 이미 받았다"며 "민관 전문가를 투입해 실제 운영망을 대상으로 불시 점검을 진행하고, 주요 IT 자산의 취약점을 전면 분석하겠다"고 밝혔다. 펨토셀의 경우 장기간 방치되거나 인증 범위를 벗어난 장비는 더 이상 통신망에 붙을 수 없도록 차단 체계를 마련했다고 설명했다.
금융위원회는 최근 카드사 정보유출 사건 이후 카드사 현장점검을 마쳤으며, 금융권 260개 시스템 점검을 이달 말까지 완료할 계획이다. 신진창 금융위 사무처장은 "전자금융거래법 개정을 통해 매출액 3% 수준의 과징금을 상향하고, 징벌적 과징금 제도를 신설하겠다"고 밝혔다. 개인정보보호위원회 역시 "자료 은폐 등 중대한 위반에는 가중 처벌을, 자진 신고나 신속 조치에는 감경을 적용하겠다"며 글로벌 플랫폼에도 동일 기준을 적용할 방침이라고 밝혔다.
공공 부문은 정부 정보보호책임관 직급을 국장급에서 실장급으로 상향하고, 정보화 대비 보안 예산을 일정 비율 이상 확보하도록 했다. 공공기관 경영평가에서 사이버보안 항목의 배점도 상향된다. 민간 부문에서는 정보보호 공시 의무를 상장사 전체로 확대하고, 공시 결과를 토대로 보안등급제를 도입한다. 배 부총리는 "정보보호 공시는 내년 상반기 시행을 목표로 준비 중"이라고 밝혔다. 신 사무처장은 "금융권은 비상장사까지 포함하는 법 개정도 추진한다"고 말했다.
형식적이라는 비판을 받아온 ISMS 인증은 현장 중심으로 전환된다. 배 부총리는 "최고정보보안책임자(CISO)와 개인정보보호책임자(CPO)가 실제 통제권과 예산 집행 권한을 얼마나 가졌는지 등 실효 지표를 강화하겠다"며 "화이트해커 참여를 제도화하고 상시 모의해킹을 도입하겠다"고 설명했다. 국정원은 인공지능(AI) 기능을 탑재한 차세대 사고조사 도구를 시범 운영 중이며, 정식 배포를 앞두고 있다.
정부는 해킹 신고의 중복 절차를 없애기 위해 '원스톱 신고체계'도 도입할 계획이다. 기업이 해킹 사실을 통보하면 관계 부처가 즉시 정보를 공유해 현장 대응에 나서는 방식이다.
또한 AI·클라우드 확산에 맞춰 기존의 물리적 망분리를 데이터 중요도에 따라 단계별로 구분하는 '데이터 중심 보안 체계'로 전환한다. 국정원은 이미 새로운 망보안 가이드라인(N2SF)을 배포했으며, 제로트러스트 원칙을 결합해 내부 침입을 전제로 한 방어 체계로 발전시킬 방침이다.
지금 뜨는 뉴스
브리핑에서 정부는 연내 공개 예정인 '국가 사이버안보 전략'의 방향성도 함께 예고했다. 배 부총리는 "오늘 발표한 종합대책은 즉시 시행 가능한 단기 과제 중심"이라며 "연말까지는 중장기 과제를 포함한 국가 사이버안보 전략을 마련해 예방·대응·사후체계와 거버넌스를 완성하겠다"고 밝혔다. 이어 "단기 대책이 현장에서 제대로 작동하는지 면밀히 점검하면서, 장기적으로는 법제화·산업 인프라 육성까지 포괄하는 종합 전략을 수립하겠다"고 덧붙였다. 정부는 내년도 정보보호 예산을 올해보다 7.7% 증가한 4012억원으로 책정했다.
박유진 기자 genie@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>
