해킹 사고에 자비 없는 정부, 기업 신고 없어도 직권 조사

정부는 잇따른 해킹 사고로 불안해하는 국민을 위해 대대적인 보안 강화를 담은 대책을 22일 발표했다. / 사진 과기정통부

정부가 잇따른 해킹 사고로 불안해하는 국민을 위해 대대적인 보안 강화 대책을 내놨다.

배경훈 부총리 겸 과학기술정보통신부 장관은 22일 '범부처 정보보호 종합대책'을 발표하며 "현 상황을 심각한 위기로 인식하고 있다"고 밝혔다.

이번 대책은 국가안보실을 중심으로 과기정통부, 금융위원회, 개인정보보호위원회 등 관계부처가 합동으로 수립했다. 즉시 실행 가능한 단기과제 위주로 구성됐으며, 연내 '국가 사이버안보 전략'도 별도로 마련할 계획이다.

우선 공공·금융·통신 분야 1600개 IT 시스템에 대한 긴급 보안 점검이 시작된다. 특히 통신사는 실제 해킹 방식의 불시 점검을 받게 되며, 안전성이 확보되지 않은 소형기지국(펨토셀)은 즉시 폐기된다. 보안 인증 제도(ISMS, ISMS-P)를 현장 심사 중심으로 전환하고, 중대한 결함이 발생할 경우 인증을 취소한다. 모의해킹 훈련과 착한 해커(화이트해커)를 활용한 상시 취약점 점검 체계도 구축한다.

소비자 보호도 강화된다. 기업의 보안 소홀로 발생한 해킹 시 소비자의 입증 부담이 줄어들고, 개인정보 유출 과징금은 피해자 지원에 쓰이는 기금으로 조성된다. 해킹 정황을 확보한 경우에는 기업의 신고 없이도 정부가 신속히 현장을 조사할 수 있도록 정부의 조사 권한을 확대한다. 해킹 지연 신고, 재발 방지 대책 미이행, 개인·신용 정보 반복 유출 등 보안 의무 위반에 대해서는 과태료·과징금 상향, 이행강제금 및 징벌적 과징금 도입 등 제재를 강화한다.

기업의 보안 투자 확대도 유도한다. 상장사 전체로 정보보호 공시 의무를 확대하고, CEO의 보안 책임을 법령에 명시한다. 보안최고책임자(CISO)의 권한도 강화된다.

낡은 보안 환경 개선도 추진된다. 금융·공공기관이 강제하던 보안 소프트웨어 설치는 단계적으로 제한되고, 다중 인증과 AI 기반 이상 탐지로 대체된다. 획일적인 물리적 망분리도 데이터 보안 중심으로 전환된다.

정부는 또한 AI 에이전트 보안 플랫폼 등 차세대 보안 기업을 연간 30개사씩 집중 육성하고, 화이트해커 500명을 양성한다. 양자 시대를 대비한 암호 체계 전환도 착수한다.

배경훈 부총리는 "이번 대책이 현장에서 제대로 작동될 때까지 실행 과정을 면밀히 살피겠다"며 "AI 강국을 뒷받침하는 견고한 정보보호 체계 구축에 총력을 기울이겠다"고 강조했다.