굿모닝작전
정부가 사이버 침해 사고에 대응하기 위해 해킹 정황이 있을 때 기업의 신고 없이도 신속히 현장을 조사할 수 있도록 권한을 강화하기로 했다. 또한 공공·금융·통신 등 국민 대다수가 이용하는 1600여개 정보기술(IT) 시스템을 대상으로 대대적인 점검에 착수한다.
과학기술정보통신부와 기획재정부, 금융위원회, 행정안전부, 국가정보원 등 관계부처는 22일 정부서울청사에서 범부처 정보보호 종합대책을 발표했다.
정부는 민간과 공공분야를 막론하고 반복되는 최근 해킹사고를 심각한 위기 상황으로 인식하고 있다며 국가안보실을 중심으로 유기적인 대응체계를 가동하겠다고 밝혔다.
우선 해킹 등 사이버 침해 사고가 있어도 은폐하는 관행을 막기 위해 기업의 침해 정황만 확인되면 정부가 먼저 현장 조사를 할 수 있도록 권한을 확대한다. 기존에는 정보통신망법 한계상 기업의 자발적 신고가 있어야 조사할 수 있었다.
해킹 지연 신고, 재발 방지 대책 미이행, 개인·신용 정보 반복 유출 등 보안 의무 위반한 주체에 대해서는 과태료·과징금 상향, 이행강제금 및 징벌적 과징금 도입 등 제재를 강화한다.
개인정보 유출 사고에 따른 과징금 수입은 피해자 지원 등 개인정보 보호에 활용할 수 있도록 기금 신설을 검토한다.
정부는 공공·금융·통신 등 국민 대다수가 이용하는 1600여개 IT 시스템에 대해 대대적인 점검에 착수한다. 특히 최근 해킹 사고가 잇따른 바 있고 정보 유출 시 2차 피해가 큰 통신사에 대해서는 실제 해킹 방식의 강도 높은 불시 점검을 추진할 계획이다.
통신업계가 주요 IT 자산의 식별·관리 체계를 만들도록 하고 해킹에 악용된 것으로 지목된 소형 기지국(펨토셀)은 안정성이 확보되지 않을 경우 즉시 폐기한다.
해킹 발생 시 소비자의 증명책임 부담을 완화하고 통신·금융 등 주요 분야에서 이용자 보호 매뉴얼을 마련한다.
정보보호 공시 의무 기업을 상장사 전체로 확대함에 따라 의무 대상이 현행 666개에서 2700여개로 늘어난다. 공시 결과를 토대로 보안 역량 수준을 등급화해 공개하기로 했다.
보안 인증 제도(ISMS·ISMS-P)는 현장 심사 중심으로 바꿔 사후 관리를 강화한다. 또한 기업 최고경영자(CEO)의 보안 책임 원칙을 법제화한다.
국내 환경에만 한정돼 갈라파고스라는 비판이 이어졌던 사이버 보안환경도 개선한다. 금융·공공기관 등이 소비자에게 설치를 강요하는 보안 소프트웨어를 내년부터 단계적으로 제한하고 클라우드, 인공지능(AI) 확산 등 글로벌 변화에 부합하지 않은 획일적인 물리적 망 분리 규정을 데이터 보안 중심으로 바꾼다.
정부는 또 민관군 합동 조직인 국정원 산하 국가사이버위기관리단과 정부 부처 간의 사이버 위협 예방·대응 협력을 강화한다고 밝혔다.
공공의 정보보호 예산·인력을 확충하고 정부 정보보호책임관 직급을 기존 국장급에서 실장급으로 높이며 공공기관 경영평가 시 사이버 보안 관련 점수도 지금의 2배로 올린다.
보안 산업계 육성을 위해 차세대 AI 보안 기업을 연 30개 사 규모로 육성하고, 보안 전문가인 화이트해커를 연 500여명 배출할 계획이다.
정부는 연내 중장기 과제를 망라하는 국가 사이버안보 전략 수립할 계획이다.
신용현 한경닷컴 기자 yonghyun@hankyung.com
관련뉴스
