연이은 굵직한 해킹 사고에…정부 ‘범부처 정보보호 대책’ 발표

연내 국가 사이버안보 컨트롤타워 마련, 공공·민간 전방위 보안 협력 체계 강화
징벌적 과징금·보안 공시 의무화 확대 추진…“완성된 종합 대책안, 12월에 발표“

정부가 연이은 해킹 사고와 개인정보 유출 사태로 커진 국민 불안을 해소하기 위해 사이버 보안 정책 전반을 손본다.

정부는 과학기술정보통신부, 금융위원회, 개인정보보호위원회, 행정안전부, 국가정보원이 참여한 ‘범부처 정보보호 종합대책’을 22일 발표했다. 정부는 이번 대책안을 단기 대응책으로만 두지 않고 연내 ‘국가 사이버안보 전략’으로 이어갈 계획이다. 이르면 오는 12월에 완성된 정보보호 종합 대책안을 내놓을 예정이다.

배경훈 과학기술정보통신부 장관(부총리 겸직)은 22일 정부서울청사에서 열린 ‘범부처 정보보호 종합대책‘ 브리핑에서 “그간의 보안 대책이 선언적 수준에 머물렀다는 비판을 알고 있다”며 “이번 대책은 현장 중심으로 즉시 실행 가능한 과제들로 구성했다”고 설명했다.

이어 그는 “보안은 더 이상 비용이 아니라 기업의 생존과 국민의 신뢰를 지키는 투자”라고 덧붙였다.

이번에 발표된 범부처 정보보호 종합대책의 주요 추진 방향은 ▲국민 생활에 밀접한 핵심 IT 시스템의 대대적인 보안 점검 추진 ▲소비자 중심의 사고 대응 체계 구축 ▲재발 방지 대책의 실효성 강화 ▲민·관 전반의 정보보호 역량 강화 ▲글로벌 기준에 부합하는 정보보호 환경 조성 ▲정보보호 산업·인력·기술 육성 ▲범국가적 사이버안보 협력 체계 강화 등이다.

1600개 IT 핵심 시스템 전수점검…“몰래 해킹하는 불시 점검 방식도 시행”

먼저, 정부는 공공·금융·통신 등 국민 생활과 밀접한 1600개 핵심 IT 시스템을 대상으로 전면 점검을 실시한다. 점검 대상에는 공공기관 기반시설 288개, 중앙·지방 행정기관 152개, 금융기관 261개, 정보보호관리체계(ISMS) 인증 민간기업 949개가 포함된다.

류제명 과기정통부 제2차관은 “이번 점검은 단순한 서류 검증이 아니”라며 “협의를 통한 조사도 있겠지만 실제 해킹 시나리오에 기반한 ‘실전 침투 테스트’도 진행된다”며 “통신 3사의 경우, 동의를 받아 불시 점검 형식으로 추진할 것”이라고 설명했다.

정부는 점검의 목적이 ‘징벌’이 아니라 ‘사전 예방’임을 강조했다. 류 차관은 “취약점을 조기에 발견해 보완을 유도하는 것이 핵심”이라며 “문제 발견 시 해당 기관이 자발적으로 신고·조치하면 직권 조사로 전환하는 방식으로 유연하게 운영할 것”이라고 말했다.

특히 KT의 관리 부실로 도마에 오른 ‘초소형 기지국(펨토셀)’은 안전성 검증 결과에 따라 즉시 폐기 조치된다. 류 차관은 “미등록·미사용 펨토셀이 망에 연결되지 않도록 화이트리스트 체계로 전환하고, 인증 단말의 유효성도 실시간 점검하는 관리장치를 마련할 것”이라고 밝혔다.

보안 인증제도인 ISMS·ISMS-P는 현장 중심 심사로 바뀐다. 한 번 인증을 받았어도 중대한 결함이 확인되면 인증 취소와 함께 즉시 재심사를 거치게 된다. 지속적으로 인증 점검을 하는 방향으로 전환된다.

배 장관은 “그동안 ISMS는 ‘인증을 위한 인증’이라는 비판이 많았다”며 “앞으로는 최고정보보호책임자(CISO)의 실질적 통제 권한과 실행력을 중심으로 평가하겠다”고 말했다.

소비자 보호 중심 체계 강화 “정부 직권조사 확대·징벌적 과징금 도입”

정부는 해킹 피해가 발생했을 때 소비자가 입증 책임을 지던 구조를 바꾸기로 했다. 특히 국민 생활에 밀접한 통신·금융 등 주요 분야는 이용자 보호 매뉴얼을 마련해 사고 발생 시 대응 절차를 통일한다. 또 개인정보 유출로 발생한 과징금 수입을 피해자 구제에 활용하는 별도 기금 신설도 검토 중이다.

배 장관은 “이제는 피해자에게 ‘입증하라’는 말을 하지 않겠다”며 “사고가 확인되면 정부가 먼저 나서서 조사하고, 기업의 재발 방지 대책 이행 여부까지 책임지겠다”고 말했다.

이를 위해 정부는 해킹 정황이 확보된 경우 기업 신고 없이도 현장 조사를 개시할 수 있도록 조사권을 확대한다. 배 장관은 “직권조사 권한은 이미 법안이 발의돼 있으며 국회에서 논의가 진행 중”이라며 “사고 은폐나 신고 지연에 대해서는 징벌적 과징금 제도를 도입해 실질적인 제재를 하겠다”고 설명했다.

과징금 수준은 매출액 대비 10% 부과하는 해외 사례를 참고해 조율 중이다. 배 장관은 “국내 상황에 맞게 단계적 상향을 추진하겠다”고 말했다.

금융위원회 역시 관련 제도 개선에 나선다. 신진창 금융위 사무처장은 “금융권의 피해 입증 책임을 금융사로 전환하고, 손해배상액은 최대 5배까지 배상하도록 현행법을 개정 중”이라며 “전자금융거래법 개정안을 이번 정기국회에서 처리할 수 있도록 준비 중”이라고 밝혔다.

개인정보보호위원회도 과징금 체계를 손질한다. 이정렬 개인정보위 사무처장은 “이미 매출액의 3% 상한을 적용하고 있지만 여전히 부족하다는 평가가 있다”며 “전문가 TF를 구성해 징벌적 과징금 확대 방안을 논의 중이며 연내 개정안을 발표할 것”이라고 말했다.

공공부터 솔선수범, 보안예산·평가배점 상향

공공기관은 내년 1분기까지 정보보호 예산과 인력을 정보화 예산 대비 일정 비율 이상 확보해야 한다. 정부 정보보호책임관 직급도 국장급에서 실장급으로 상향된다.

행정안전부는 “유출 조사에서 공공과 민간을 구분하지 않고 동일한 수준의 점검을 받게 될 것”이라며 “인력과 조직, 전문성 투자를 병행하는 것이 근본 대책”이라고 밝혔다.

공공기관 경영평가에서 사이버보안 배점은 기존 0.25점에서 0.5점으로 상향된다.

배 장관은 “이제 보안은 기관 평가의 핵심 지표로 자리 잡게 된다”며 “보안 투자가 경영의 한 축으로 인식될 것”이라고 말했다.

민간 보안 공시제도 전면 개편…“상장사 전체 의무화, 등급제 도입”

정부는 정보보호 공시 의무를 기존 666개사에서 상장사 전체 약 2700개사로 확대하고, 공시 결과를 토대로 보안 역량을 등급화해 공개한다.

과기정통부는 내년 상반기 시행을 목표로 보안 공시의 세부 기준을 마련 중이다. 배 장관은 “기업에는 부담이 될 수 있으나 국민 신뢰를 위한 조치”라며 “공시가 단순 보고서가 아니라 기업 보안 신뢰의 기준이 되도록 하겠다”고 말했다.

징벌 위주의 정책이라는 지적에 대해 금융위는 “ISMS·ISMS-P 인증, 공시 성실도 등에 따라 과징금을 감면하는 인센티브 제도도 마련 중”이라고 했다.

메타, 구글 등 국내 사업을 하고 있는 글로벌 빅테크가 공시 의무 대상에서 제외된 점은 여전히 과제로 남는다. 이에 대해 배 장관은 “해외 플랫폼 사업자에게도 동일한 기준이 적용돼야 한다”며 “제도 개선을 검토하겠다”고 말했다.

글로벌 기준 맞춘 보안체계로 망분리·클라우드 규제 개편

정부는 기존의 ‘갈라파고스식(독자적이고 폐쇄적인 방식)’ 보안 규제에서 벗어나 글로벌 수준의 보안체계로의 전환 방향도 제시했다.

2026년부터 금융기관과 공공기관이 이용자에게 특정 보안 프로그램 설치를 강요하는 관행을 단계적으로 없애고, 대신 다중 인증(MFA)과 인공지능(AI) 기반 이상 탐지 시스템으로 전환한다.

또 공공기관의 물리적 망분리를 데이터 중심 보안체계로 바꾼다. 국정원 3차장은 “공공분야에 민간 클라우드 도입이 확대되는 상황에서, 중·하 등급의 시스템은 이미 민간 클라우드를 도입황”이라며 “관련 부처와 기업 협의를 통해 진입 장벽을 완화하겠다”고 설명했다.

이어 “국가망 보안체계를 통해 이미 보안 가이드를 배포한 바 있다”며 “이를 토대로 기관에 대한 보안을 개선하도록 지원해갈 예정”이라고 말했다.

또한 정부는 2027년까지 공공 IT 시스템에 ‘소프트웨어 구성요소 명세서(SBOM)’ 제출을 의무화한다. SBOM은 프로그램 구성요소를 투명하게 공개해 공급망 보안을 강화하는 장치다. 취약 제품은 공공 조달에서 배제되고 산업용·생활용 사물인터넷(IoT) 제품의 보안 평가 결과는 대중에게 공개된다.

부처별 사이버안보 협력체계 강화…“컨트롤타워 법제화 검토”

보안 컨트롤타워를 세워 사이버안보 협력체계도 강화한다. 정부는 국가 핵심 인프라인 주요정보통신기반시설 지정 범위를 범부처 위원회인 정보통신기반시설보호위원회를 통해 넓히고, 사고 원인 조사 단계에서는 침해사고대책본부(국가사이버위기관리단으로 지정)를 활성화한다.

배 장관은 “컨트롤타워 법제화를 국가안보실 중심으로 검토 중이며, 11~12월 사이 구체적인 보안 거버넌스 안을 발표하겠다”고 밝혔다.

국정원 3차장은 “7월부터 각 부처와 협조 채널을 운영 중이며 ‘프랙(Phrack) 보고서’ 관련 해킹 배후에 대한 추적 조사도 계속 진행 중이다. 사이버 인텔리전스를 강화하고 국가의 보안 능력을 높이기 위해 완성도 높은 보안 거버넌스를 마련해 가겠다”고 했다.

AI·공급망 보안 산업 육성, 인력난 해소 대책 병행

또한 정부는 AI 에이전트 보안 플랫폼 등 차세대 기술 기업을 매년 30개 이상 선정해 육성한다. 정보보호산업법상 정보보호서비스 지정 범위를 기존 컨설팅·관제 중심에서 AI 보안, 소프트웨어 공급망 보안으로 확대한다.

보안 인력 양성에도 투자를 확대한다. 화이트해커 500명 양성체계를 새로 설계해 기업 수요 기반으로 운영하고, 정보보호특성화대학 7곳과 융합보안대학원 9곳을 권역별 산업 중심 인재 허브로 강화한다.

과기정통부는 “단기 교육에 그치지 않고, 교육·채용·처우가 이어지는 보안 인재 생태계를 만들겠다”고 설명했다.

이외에도 양자컴퓨터로 인한 암호기술 무력화에 대비해 ‘양자내성암호(PQC)’ 기술 개발에도 착수해 공공기관부터 단계적으로 적용한다.

아울러 자율주행차·지능형 로봇·드론 등 신기술 모빌리티의 안전한 활용을 위한 보안 체크리스트도 2026년까지 마련한다. 여기에는 센서 데이터 위변조 방지, 통신 구간 암호화, AI 의사결정 검증 절차 등이 포함된다.

배경훈 장관은 마무리 발언에서 “해킹과 보안 문제는 앞으로도 끊임없이 발생할 것이다. 정부도 책임이 없다고 할 수 없다”며 “정부가 부족했던 점을 인정하고 단기 대응뿐 아니라 중장기 대책을 12월에 공개하고, 앞으로도 지속해서 실행 가능한 개안 방안을 마련하겠다”고 설명했다. 이어 “국민의 지적과 제보가 정책을 완성시킨다. 정부가 책임지고 보안 체계를 바로 세워가겠다”고 강조했다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network