해킹 정황시 기업 신고 없어도 조사…범정부 사이버보안 대책

정부는 앞으로 해킹 정황이 있으면, 기업 신고가 없어도 조사에 들어갈 예정이다. 보안 의무 위반에 대해서는 과태료·과징금을 올리고 이행 강제금과 징벌적 과징금 도입 등 제재를 강화하는 한편 1600여개 정보기술(IT) 시스템에 대해 대대적 점검에 착수한다.

과학기술정보통신부와 기획재정부, 금융위원회, 행정안전부, 국가정보원 등 관계부처는 22일 정부서울청사에서 이러한 내용을 골자로 하는 ‘범부처 정보보호 종합대책’을 발표했다. 정부는 최근 반복되는 해킹 사고를 심각한 위기 상황으로 인식, 국가안보실을 중심으로 유기적 대응 체계를 가동할 예정이다. 우선 해킹 등 사이버 침해 사고가 있어도 은폐하는 관행을 막기 위해 해킹 정황이 확보된 경우에는 기업 신고 없이도 정부가 현장 조사에 나설 수 있도록 제도를 개선한다. 해킹 지연 신고, 재발 방지 대책 미이행, 개인·신용 정보 반복 유출 등 보안 의무 위반한 주체에 대해서는 과태료·과징금 상향, 이행강제금 및 징벌적 과징금 도입 등 제재를 강화한다. 개인정보 유출 사고에 따른 과징금 수입은 피해자 지원 등 개인정보 보호에 활용할 수 있도록 기금 신설을 검토한다.

또 공공·금융·통신 등 국민 대다수가 이용하는 1600여개 IT 시스템에 대해 점검에 착수하며 특히 최근 해킹 사고가 잇따른 바 있고 정보 유출 시 2차 피해가 큰 통신사에 대해서는 강도 높은 불시 점검을 추진한다. 통신업계가 주요 IT 자산의 식별·관리 체계를 만들도록 하고 해킹에 악용된 것으로 지목된 소형 기지국(펨토셀)은 안정성이 확보되지 않을 경우 즉시 폐기한다. 해킹 발생 시 소비자의 증명책임 부담을 완화하고, 통신·금융 등 주요 분야에서 이용자 보호 매뉴얼을 마련한다.

정보보호 공시 의무 기업을 상장사 전체로 확대함에 따라 의무 대상이 현행 666개에서 2700여개로 늘어난다. 공시 결과를 토대로 보안 역량 수준을 등급화해 공개한다. 이밖에 보안 인증 제도(ISMS·ISMS-P)를 현장 심사 중심으로 바꾸고, 기업 최고경영자(CEO)의 보안 책임 원칙을 법제화한다. 금융·공공기관 등이 소비자에게 설치를 강요하는 보안 소프트웨어를 내년부터 단계적으로 제한하고, 클라우드·인공지능(AI) 확산 등 데이터 보안 중심으로 바꾼다.

정부는 국정원 산하 국가사이버위기관리단과 정부 부처 간 사이버 위협 예방·대응 협력을 강화한다. 아울러 보안 산업 육성을 위해 차세대 AI 보안 기업을 연 30개 사 규모로 육성하고, 보안 전문가인 화이트해커를 연 500여명 배출할 계획이다.