261개 금융 IT 취약점 점검·이용자 보호 매뉴얼 마련···보안 대책 '만전' [범부처 정보보호 대책]

기업 해킹 사고 시 소비자 입증 책임 부담 완화
CEO 보안 책임 법령상 명문화, CISO 권한 강화

배경훈 부총리 겸 과학기술정보통신부 장관 / 사진제공 = 과학기술정보통신부

[한국금융신문 김성훈 기자] 정부가 해킹 사고로 인한 피해를 예방하고 국민의 불안을 줄이기 위해 범부처 정보보호 대책을 마련했다.

특히 금융·통신 등 주요 분야는 별도의 이용자 보호 매뉴얼을 마련해 소비자 중심의 피해 예방·구제 체계를 구축할 방침이다.

배경훈 부총리 겸 과학기술정보통신부 장관은 "AI 강국을 뒷받침하는 견고한 정보보호 체계 구축을 취해 총력을 기울이겠다”고 약속했다.

22일 과기정통부와 관계부처는 대국민 브리핑을 통해 '범부처 정보보호 종합대책'을 발표했다.

이번 대책은 국가안보실을 중심으로 과기정통부·금융위원회·개인정보보호위원회·국가정보원·행정안전부 등 관계부처의 협력으로 만들어졌다.

분야를 막론하고 해킹 사고가 이어지는 현 상황을 심각한 위기로 판단, 범정부 차원의 유기적인 대응체계를 가동하기 위해서다.

정부 관계자는 "이번 대책은 사안의 시급성을 고려해 즉시 실행할 수 있는 단기 과제 위주로 제시했다"며 "중장기 과제를 망라하는 '국가 사이버안보 전략'을 연내 수립할 계획"이라고 전했다.

이번 정보보호 종합대책의 주요 추진 방향은 ▲국민 생활에 밀접한 핵심 IT 시스템의 대대적인 보안 점검 ▲소비자 중심의 사고 대응 체계 구축과 재발 방지 대책의 실효성 강화 ▲민·관 정보보호 역량 강화, 글로벌 기준 부합 정보보호 환경 조성, 정보보호 산업·인력·기술 육성 ▲범국가적 사이버안보 협력 체계 강화 등이다.

261개 금융 IT 취약점 점검·이용자 보호 매뉴얼 마련···보안 대책 '만전' [범부처 정보보호 대책]

보안의무 위반 제재 수위 강화

정부는 우선 공공·금융·통신 등 국민 대다수가 이용하는 1600여개 IT 시스템에 대한 대대적인 보안 취약점 점검에 착수한다.

구체적으로는 공공기관 기반시설 288곳, 중앙·지방 행정기관 152곳, 금융업 261곳, 통신·플랫폼 등 ISMS 인증기업 949곳 등이다.

이에 더해 보안 인증 제도(ISMS, ISMS-P)를 현장 심사 중심으로 전환, 중대한 결함이 발생할 경우 인증을 취소하는 등 관리를 강화하기로 했다.

모의해킹 훈련과 화이트해커를 활용한 상시 취약점 점검 체계도 구축할 방침이다.

소비자 중심의 피해구제 체계를 구축해 기업의 보안 미흡으로 인한 해킹 발생 시 소비자의 입증책임 부담도 완화한다.

특히 통신·금융 등 주요 분야의 경우 이용자 보호 매뉴얼을 만들고, 개인정보 유출 사고로 인한 과징금 수입을 피해자 지원 등 개인정보 보호에 활용할 수 있도록 기금 신설도 검토할 예정이다.

해킹에 대한 빠른 대응과 후속 조치를 위해 해킹 정황을 확보한 경우에는 기업의 신고 없이도 정부가 신속히 현장을 조사할 수 있도록 조사 권한을 확대하는 방안도 추진한다.

해킹 지연 신고, 재발 방지 대책 미이행, 개인·신용 정보 반복 유출 등 보안 의무 위반에 대해서는 과태료·과징금 상향, 이행강제금·징벌적 과징금 도입 등 제재 수위를 높이기로 했다.

침해사고 탐지·대응 역량을 고도화를 위해 국가정보원의 조사·분석 도구도 민간과 공동 활용하고, AI 기반 지능형 포렌식실을 구축해 분석 시간을 대폭 단축(건당 14일 → 5일)할 계획이다.

보안은 '비용' 아닌 필수적 '투자'

관계부처들은 보안이 '비용'이 아닌 기업의 성패를 가르는 필수 '투자'라는 점에 공감하며, 이 같은 인식의 전환을 위해 정보보호 공시 의무 기업을 현 666곳에서 상장사 전체인 2700여곳으로 확대하기로 했다.

이와 동시에 공시 결과를 토대로 보안 역량 수준을 등급화해 공개하는 제도를 도입할 예정이다.

CEO의 보안 책임 원칙을 법령상 명문화해 강제성을 높이고, 보안최고책임자(CISO·CPO)의 권한도 대폭 강화한다.

자체 보안 역량이 부족한 중소·영세기업을 위한 정보보호 지원센터도 현 10개소에서 16개까지 늘려 보안 지원을 확대할 방침이다.

보안을 강화한다고 해서 번거로운 절차를 늘리겠다는 것은 아니다.

금융‧공공기관 등이 소비자에게 설치를 강요하는 보안 SW를 단계적으로 제한(‘26년~)하는 대신, 다중 인증과 AI기반 이상 탐지 시스템 등을 더욱 적극적으로 활용한다.

이에 더해 획일적인 물리적 망분리를 데이터 보안 중심으로 본격 전환(’26년~)하고, 클라우드 보안 요건 개선 등 민간 사업자의 공공 진출 요건 완화도 추진한다.

범국가적 사이버안보 협력도 강화할 예정인데, 부처별로 파편화된 해킹 사고조사 과정을 체계화해 현장의 혼선을 최소화하기 위해서다.

민관군 합동 조직인 국가정보원 산하 '국가사이버위기관리단'과 정부 부처 간의 사이버 위협 예방·대응 협력도 확대한다.

김성훈 한국금융신문 기자 voicer@fntimes.com