SBS Biz

정부가 급증하는 사이버 침해 사고를 위기에 준하는 비상 사태로 규정하고, 해킹 정황이 있을 때 기업 신고 없이도 조사권을 강화하기로 했습니다. 

보안 의무 위반에 대해 과태료·과징금을 올리고 이행 강제금과 징벌적 과징금 도입 등 제재를 강화하는 한편 1천600여개 정보기술(IT) 시스템에 대해 대대적인 점검에 착수합니다.



과학기술정보통신부와 기획재정부, 금융위원회, 행정안전부, 국가정보원 등 관계부처는 22일 정부서울청사에서 이러한 내용을 골자로 하는 범부처 정보보호 종합대책을 발표했습니다.

정부는 민간과 공공 분야를 막론하고 반복되는 최근의 해킹 사고를 심각한 위기 상황으로 인식하고 있다며 국가안보실을 중심으로 유기적인 대응 체계를 가동하겠다고 밝혔습니다.

우선 해킹 등 사이버 침해 사고가 있어도 은폐하는 관행을 막기 위해 해킹 정황이 확보된 경우에는 기업 신고 없이도 정부가 현장 조사에 나설 수 있도록 제도를 개선합니다.

해킹 지연 신고, 재발 방지 대책 미이행, 개인·신용 정보 반복 유출 등 보안 의무 위반한 주체에 대해서는 과태료·과징금 상향, 이행강제금 및 징벌적 과징금 도입 등 제재를 강화합니다.



우리나라는 개인정보 유출 등 사고에서 매출 3%를 과징금으로 부과하는데, 10%를 매기는 영국 등의 사례를 참고해 제재 규모를 확대하는 방안을 검토합니다.

개인정보 유출 사고에 따른 과징금 수입은 피해자 지원 등 개인정보 보호에 활용할 수 있도록 기금 신설을 검토합니다.

정부는 공공·금융·통신 등 국민 대다수가 이용하는 1천600여개 IT 시스템에 대해 대대적인 점검에 착수하며 특히 최근 해킹 사고가 잇따른 바 있고 정보 유출 시 2차 피해가 큰 통신사에 대해서는 실제 해킹 방식의 강도 높은 불시 점검을 추진한다고 밝혔습니다.

통신사 외 플랫폼 업계 등 주요 기업은 자체 점검 결과를 CEO 확인을 거쳐 정부에 제출하도록 했고, 이후 순차적으로 정부가 사후 점검에 들어갑니다.

통신업계가 주요 IT 자산의 식별·관리 체계를 만들도록 하고 해킹에 악용된 것으로 지목된 소형 기지국(펨토셀)은 안정성이 확보되지 않을 경우 즉시 폐기합니다.

해킹 발생 시 소비자의 증명책임 부담을 완화하고 통신·금융 등 주요 분야에서 이용자 보호 매뉴얼을 마련합니다.

내년 상반기부터 정보보호 공시 의무 기업을 상장사 전체로 확대함에 따라 의무 대상은 현행 666개에서 2천700여개로 늘어나는데, 공시 결과를 토대로 보안 역량 수준을 등급화해 공개하기로 했습니다.

이밖에 유명무실하다는 비판을 받아온 보안 인증 제도(ISMS·ISMS-P)를 현장 심사 중심으로 바꿔 사후 관리를 강화하고 기업 최고경영자(CEO)의 보안 책임 원칙을 법제화합니다.

기존 사이버 보안 환경이 국내 환경에 한정된 '갈라파고스'라는 비판에 금융·공공기관 등이 소비자에게 설치를 강요하는 보안 소프트웨어를 내년부터 단계적으로 제한하고 클라우드, AI 확산 등 글로벌 변화에 부합하지 않은 획일적인 물리적 망 분리 규정을 데이터 보안 중심으로 바꿉니다.

정부는 또 민관군 합동 조직인 국정원 산하 국가사이버위기관리단과 정부 부처 간의 사이버 위협 예방·대응 협력을 강화한다고 밝혔습니다.

국정원의 조사·분석 도구를 민간과 공동 활용하는 한편, 인공지능(AI) 기반 지능형 포렌식실을 구축해 분석 시간을 건당 현행 14일에서 5일 정도로 줄인다는 목표를 세웠습니다.