'해킹 공포' 확산에 정부, 1천600개 IT시스템 전수 점검한다

정부 '범부처 정보보호 종합대책' 발표

기업 CEO 책임 명문화·全상장사 정보보호 공시 의무화

(서울=연합인포맥스) 윤영숙 기자 = 정부가 전방위 해킹 사고로 국민 불안이 커지자 국가안보실을 중심으로 한 범부처 합동 정보보호 강화 대책을 긴급 가동한다.

핵심 IT 시스템 전수 점검과 보안 인증 강화, 기업 최고경영자(CEO)의 책임 명문화, 소비자 중심 피해구제 강화 등 보안 체계를 전면 손질하겠다는 계획이다.

과학기술정보통신부와 국가안보실, 금융위원회 등 관계부처는 22일 대국민 브리핑을 통해 '범부처 정보보호 종합대책'을 발표했다.

이번 대책은 최근 잇단 통신·금융 해킹 사고를 '심각한 국가 위기 상황'으로 규정하고, 단기 실행 가능한 과제들을 중심으로 마련됐다.

정부는 연내 중장기 과제를 망라하는 '국가 사이버안보 전략'을 추가로 수립할 계획이다.

◇ IT 시스템 전수 조사…피해자 구제 강화

우선, 정부는 공공·금융·통신 등 국민이 이용하는 1천600여개 핵심 IT 시스템에 대해 즉시 보안 취약점 점검에 착수한다.

여기에는 공공기관 기반 시설 288개, 중앙·지방 행정기관 152개, 금융업 261개, 통신·플랫폼 등 ISMS 인증기업 949개 등이 포함된다.

특히 통신사는 실제 해킹과 유사한 방식으로 불시 점검을 진행하고, 주요 IT 자산의 식별·관리 체계를 의무화한다. 보안이 불안정한 소형기지국(펨토셀)은 안전성이 확보되지 않으면 폐기 조치도 가능하다.

보안 인증제도(ISMS·ISMS-P)는 형식적 심사에서 현장 점검 중심으로 전환되며, 중대한 결함이 발견될 경우 인증 취소도 가능하다. 모의해킹 훈련과 화이트해커를 활용한 상시 취약점 점검 체계도 구축한다.

기업 보안 부실로 해킹이 발생할 경우 소비자가 피해를 입증해야 하는 현 구조도 손본다. 정부는 통신·금융 등 주요 분야에 이용자 보호 매뉴얼을 마련하고, 개인정보 유출 과징금 수입을 피해자 지원에 활용하도록 기금 신설도 검토한다.

또 기업 신고 없이도 정부가 현장 조사를 개시할 수 있도록 조사 권한을 확대하고, 신고 지연·재발 방지 미이행 등에 과태료·과징금을 대폭 상향한다.

국가정보원 조사 도구를 민간과 공동 활용하고, AI 기반 지능형 포렌식실을 구축해 해킹 분석 시간을 14일에서 5일로 단축한다.

◇ 공공 정보 보호예산 확보…기업 CEO 책임 명문화

공공 부문은 정보보호 예산과 인력을 일정 수준 이상 확보하고, 정보보호책임관 직급을 실장급으로 상향한다.

현재는 정보화 예산 대비 15% 이상으로 정보보호 투자를 권고하는 수준이지만, 이를 무조건 일정 수준 이상으로 확보하겠다는 것이다. 공공기관 경영평가에서 사이버보안 배점도 높인다.

민간기업의 경우 상장사 전체에 정보보호 공시를 의무화하고, 이를 바탕으로 보안 등급제를 도입한다. 현재 정보보호 공시 의무는 666개 사에 국한돼 있으나 이를 상장사 전체인 2천700여개로 확대하겠다는 것이다.

기업 CEO의 보안 책임 원칙을 법에 명문화하고 보안최고책임자(CISO·CPO)의 권한도 대폭 강화한다. 자체 보안 능력이 부족한 중소기업에는 지역 정보보호 지원센터(10개→16개)를 통한 밀착 지원을 강화한다.

금융·공공기관 등이 소비자에게 설치를 강요하는 구형 보안 소프트웨어는 단계적으로 제한하고, 다중 인증(비밀번호, 생체인식 등 조합)과 AI 탐지 시스템 등을 통해 보안을 강화한다.

◇ 보안 기업 연 30개 육성…화이트해커 연 500명 양성

정부는 AI 3대 강국 전략을 뒷받침할 차세대 보안 기업을 매년 30개 이상 집중 육성하고, AI 보안·SW공급망보안 기업을 정보보호 서비스 기업으로 지정할 수 있도록 제도를 확대한다.

화이트해커 연 500명 양성 체계를 정비하고, 정보보호 특성화대학(7개교)과 대학원(9개교)을 산업권역별 인재 허브로 강화한다. 양자내성암호 기술 개발 등 미래 보안 대응 체계도 착수한다.

공공부문에서는 자율주행차, 지능형 로봇, 드론 등 신기술 모빌리티의 안전한 활용을 위한 보안 체크리스트 및 가이드라인도 내년까지 수립한다.

국가 핵심 인프라인 주요 정보통신기반시설을 정보통신기반시설보호위원회를 통해 지정을 확대하고, 기반시설의 사고 원인 조사 단계에서는 침해사고대책본부(국가사이버위기관리단)를 활성화한다.

부처별로 파편화돼 있던 해킹 사고 조사 과정을 통합해 논스톱 신고 체계와 정보 공유를 강화하고, 국가사이버위기관리단을 중심으로 민관군 협력 체계를 재정비한다.

배경훈 부총리 겸 과학기술정보통신부 장관은 "이번 종합대책이 현장에서 제대로 작동될 때까지 실행 과정을 면밀히 살펴볼 것이며 부족한 부분을 지속적으로 보완해 나가겠다"라며 "앞으로도 정부는 AI 강국을 뒷받침하는 견고한 정보보호 체계 구축을 취해 총력을 기울이겠다"고 말했다.

ysyoon@yna.co.kr