“통신사 불시점검·해킹 피해 기금 신설” 해킹 사고 대응 위해 범부처 나섰다

최근 전방위적인 해킹 사고로 국민 불안이 가속화되는 가운데 정부가 범정부 차원의 대응체계를 가동하고 정보기술(IT) 시스템들에 대한 보안 취약점 점검에 나섰다. 이와 함께 개인정보 유출 사고로 인한 과징금 수입을 피해자 지원 등 개인정보 보호에 활용할 수 있도록 기금을 신설한다. 또 해킹 정황이 확보된 경우 기업의 신고 없이도 정부가 현장을 조사할 수 있도록 조사 권한을 확대하고 보안 의무 위반 기업에 대한 제재도 강화한다.
과학기술정보통신부는 10월 22일 금융위원회. 개인정보보호위원회, 국가정보원, 행정안전부 등 관계부처 합동으로 이런 내용을 포함한 ‘범부처 정보보호 종합대책’을 발표했다. 이번 종합대책은 당장 실행 가능한 단기 과제 위주로 제시됐다. 정부는 중장기 과제를 망라하는 ‘국가 사이버안보 전략’을 올해 안에 수립할 방침이다.

취약점 점검해 예방하고 수습은 강화하고
정부는 가장 먼저 국민 대다수가 이용하는 공공·금융·통신 등 1600여 개 정보기술체계에 대한 대대적인 보안 취약점 점검을 진행한다. 구체적으로 공공기관 기반시설 288개, 행정기관 152개, 금융업 261개, 통신·온라인 플랫폼 등 보안 인증제도 인증기업 949개 등이 대상이다.
최근 해킹 사고가 잇따라 발생했던 통신사에 대해서는 실제 해킹 방식의 강도 높은 불시 점검을 추진한다. 또한 주요 정보기술 자산에 대한 식별·관리체계를 구축하고 안전성이 확보되지 않은 소형 기지국의 경우 즉시 폐기하는 등 엄격한 조치가 이뤄진다. 이와 함께 보안인증제도 역시 현장 심사 중심으로 전환해 실효성을 높인다. 특히 중대한 결함이 발생할 경우 인증을 취소하는 등의 조치도 이뤄진다.
해킹 사고가 발생했을 때 소비자 중심의 효과적인 대응을 위한 방안도 마련된다. 우선 기업의 책임으로 인한 해킹 발생 시 소비자의 입증책임 부담을 완화한다. 또 통신·금융 등 주요 분야의 경우 이용자 보호 매뉴얼을 통해 피해구제체계를 마련한다. 개인정보 유출 사고로 인한 과징금 수입을 피해자 지원 등 개인정보 보호에 활용할 수 있도록 기금 신설을 검토할 예정이다.
해킹 정황을 확보한 경우에는 기업의 신고 없이도 정부가 신속히 현장을 조사할 수 있게 정부의 조사 권한도 확대한다. 또 보안의무 위반 사항에 대해서는 과태료와 과징금이 상향된다. 이행강제금 및 징벌적 과징금 도입 등의 제재도 크게 늘어난다. 해킹 사고 분석을 위한 국정원의 조사·분석 도구도 민간과 공동 활용, 사고 수습에 힘을 보탠다. 또한 인공지능 기반 지능형 디지털 증거복구실(포렌식실)을 구축해 기존 14일 정도로 소요됐던 분석 시간을 5일로 대폭 단축할 방침이다. 뿐만 아니라 침해사고 탐지·대응 역량을 고도화하고 영역별 사고조사 전문 인력을 충원한다는 계획이다.



민·관 합동 정보보호 기반 강화
해킹 사고에 대해 예방하고 대응하는 것과 별개로 국가 전체의 정보보호 기반을 강화하기 위한 방안도 추진된다. 우선 공공의 정보보호 예산 인력을 정보화 대비 일정 수준 이상으로 확보하고 정부 정보보호책임관 직급을 기존 국장급에서 실장급으로 상향한다. 또한 위기상황 대응 역량 강화를 위해 고도화된 훈련을 진행하고 공공기관 경영평가 시 사이버보안 배점을 기존 0.25점에서 0.5점으로 높인다.
민간 차원에서 보안에 대한 인식을 강화하기 위한 제도도 도입한다. 정보보호 공시 의무 기업을 기존 666개사에서 상장사 전체로 확대하고 공시 결과를 토대로 보안 역량 수준을 등급화해 공개한다. 또 최고경영자(CEO)의 보안 책임 원칙을 법령상 명문화하고 보안최고책임자(CISO·CPO)의 권한도 강화한다. 중소·영세기업 등 자체적인 보안 역량이 부족한 경우에는 정보보호지원센터를 확대해 밀착 지원한다.
기존 금융·공공기관 등이 소비자에게 설치를 강요해온 보안 소프트웨어도 국제적인 변화 흐름을 맞추기 위해 단계적으로 제한한다. 그 대신 비밀번호, OTP 등과 같은 다중 인증이나 인공지능 기반 이상 탐지체계 등을 활용해 보안을 강화해나갈 계획이다. 2027년까지 공공분야에 사용되는 정보기술 체계(IT 시스템)·제품에 대한 소프트웨어 구성요소(SBOM) 제출 역시 제도화한다. 또 보안 문제가 발견된 정보기술 제품은 공공 조달 도입에 제한을 두기로 했다.
인재 양성에도 힘을 쏟는다. 먼저 보안 최고 전문가인 착한 해커(화이트해커) 양성체계를 기업 수요에 맞춰 연간 500여 명 키운다는 계획이다. 7개 대학의 정보보호특성화대학 학부와 9개 대학의 융합보안대학원 등도 보안 인재 양성 거점으로 활용해 보안 인력 양성을 고도화한다.
다음으로 범부처 위원회인 ‘정보통신기반시설보호위원회’를 통해 국가 핵심 기반시설인 주요정보통신기반시설 지정을 확대하며 ‘침해사고대책본부’를 활성화해 기반시설의 사고 원인 조사 단계에서 보다 체계적인 분석을 대비한다. 현장의 혼선을 최소화하기 위해 부처별로 파편화된 해킹 사고조사 과정을 일괄 신고체계로 체계화한다. 국가정보원 산하 국가사이버위기관리단과 정부 부처 간의 사이버 위협 예방‧대응 협력 역시 강화한다.
배경훈 부총리 겸 과기정통부 장관은 “과기정통부 등 관계부처는 이번 종합대책이 현장에서 제대로 작동될 때까지 실행 과정을 면밀히 살펴볼 것이며 부족한 부분을 지속적으로 보완해나가겠다”고 밝혔다. 이어 “앞으로도 정부는 인공지능 강국을 뒷받침하는 견고한 정보보호체계 구축을 취해 총력을 기울이겠다”고 덧붙였다.

오기영 기자

(www.korea.kr)