끊이지 않는 해킹 사고로 사회 전반의 불안감이 고조되고 있는 가운데, 정부가 국민 생활과 직결된 정보기술(IT) 시스템 전반의 보안을 강화하고 소비자 중심의 사고 대응 체계를 구축하기 위한 ‘범부처 정보보호 종합대책’을 수립·발표했다. 이번 대책은 단순히 해킹 사고 발생 시 사후 조치에 그치는 것이 아니라, 보안을 비용이 아닌 투자로 인식 전환을 유도하고 차세대 보안 산업과 인력 양성에 집중함으로써 국가 정보보호 역량을 한 단계 끌어올리겠다는 강력한 의지를 담고 있다.
이번 종합대책이 발표된 배경에는 공공, 금융, 통신 등 1600여 개에 달하는 핵심 IT 시스템에서 산발적으로 발생하며 국민들의 불안을 가중시키는 해킹 사고가 자리하고 있다. 이에 정부는 우선적으로 국민들이 많이 이용하는 이들 시스템을 대상으로 대대적인 보안 취약점 점검을 즉시 추진한다. 특히 통신사의 경우, 실제 해킹과 유사한 강도의 불시 점검을 통해 보안 수준을 끌어올릴 방침이다. 더불어 주요 IT 자산에 대한 식별 및 관리 체계를 구축하고, 안정성이 확보되지 않은 소형 기지국(펨토셀)에 대해서는 폐기 조치까지 고려하는 등 엄격한 관리를 예고했다. 기존 보안 인증 제도(ISMS, ISMS-P) 역시 현장 심사 중심으로 전환하고 중대한 결함 발생 시 인증 취소라는 강력한 제재를 통해 실효성을 높이고 사후 관리를 강화할 계획이다.
해킹 사고로 인한 피해 발생 시, 소비자의 입증 책임 부담을 완화하고 신속한 피해 구제를 지원하는 소비자 중심의 사고 대응 체계 구축도 이번 대책의 핵심이다. 통신·금융 등 주요 분야에서는 이용자 보호 매뉴얼을 마련하여 피해 발생 시 소비자가 겪는 어려움을 최소화하고자 한다. 또한 개인정보 유출 사고로 발생하는 과징금 수입을 피해자 지원 등 개인정보 보호에 활용할 수 있도록 기금 신설도 검토 중이다. 나아가 정부는 해킹 정황이 포착될 경우 신고 없이도 신속하게 현장 조사를 진행할 수 있도록 정부의 조사 권한을 확대하고, 해킹 지연 신고, 재발 방지 대책 미이행, 개인·신용 정보 반복 유출 등 보안 의무 위반에 대한 제재도 과태료·과징금 상향, 이행강제금 및 징벌적 과징금 도입 등으로 대폭 강화한다.
보안 역량 강화는 민간뿐만 아니라 공공 부문에서도 솔선수범할 계획이다. 공공 부문의 정보보호 예산과 인력을 정보화 대비 일정 수준 이상으로 확보하고, 정부 정보보호책임관의 직급을 국장급에서 실장급으로 상향한다. 또한 위기 상황 대응 훈련을 고도화하고, 공공기관 경영평가 시 사이버보안 배점을 0.25점에서 0.5점으로 높여 보안의 중요성을 더욱 강조할 방침이다. 민간 부문에서는 보안을 단순한 비용이 아닌 기업의 성패를 가르는 필수 투자로 인식 전환하도록 유도하기 위해 정보보호 공시 의무 기업을 상장사 전체로 확대하고, 공시 결과를 바탕으로 보안 역량 수준을 등급화하여 공개하는 제도를 도입한다.
글로벌 변화에 발맞춘 보안 환경 조성과 신기술 육성에도 역점을 둔다. 금융·공공기관 등에서 소비자에게 설치를 강요하는 보안 소프트웨어(SW) 사용을 단계적으로 제한하는 대신, 다중 인증 및 인공지능(AI) 기반 이상 탐지 시스템 활용으로 보안을 강화한다. 클라우드, AI 확산 등 급변하는 환경에 맞춰 획일적인 물리적 망분리를 데이터 보안 중심으로 전환하고, 클라우드 보안 요건 개선 등을 통해 민간 사업자의 공공 분야 진출 요건도 완화한다. 2027년까지는 공공 분야 IT 시스템·제품에 대해 SW 구성요소(SBOM) 제출을 의무화하여 투명성을 높일 계획이다.
특히 AI 3대 강국을 뒷받침할 보안 산업 육성을 위해 AI 에이전트 보안 플랫폼 등 차세대 보안 기업을 연 30개 사 집중 육성하고, 정보보호 서비스 범위를 확대하여 산업 저변을 넓힌다. 보안 최고 전문가인 화이트해커 양성 체계는 기업 수요에 맞춰 재설계하고, 정보보호특성화대학 및 융합보안대학원을 권역별 특화 인재 양성 허브로 기능 강화하는 등 전 주기적인 보안 인력 양성을 체계화·고도화한다. 또한 양자 시대를 대비한 양자내성암호 기술 개발에 착수하고, 자율주행차, 지능형 로봇 등 신기술 모빌리티의 안전한 활용을 위한 보안 체크리스트 및 가이드라인도 수립한다.
범국가적 사이버안보 협력 강화 또한 이번 대책의 중요한 축이다. 국가 핵심 인프라인 주요 정보통신기반시설은 범부처 위원회를 통해 지정을 확대하고, 사고 발생 시 침해사고대책본부를 활성화하여 체계적인 대응에 나선다. 부처별 파편화된 해킹 사고 조사 과정을 일원화하여 현장의 혼선을 최소화하고, 국가정보원 산하 국가사이버위기관리단과 정부 부처 간의 사이버 위협 예방·대응 협력을 더욱 강화할 예정이다.
배경훈 부총리는 이번 종합대책이 현장에서 효과적으로 작동될 수 있도록 실행 과정을 면밀히 살피고 부족한 부분을 보완해 나갈 것이라고 강조하며, 앞으로도 정부는 AI 강국을 뒷받침할 견고한 정보보호 체계 구축에 총력을 기울일 것이라고 밝혔다.
답글 남기기