[서울=뉴시스] 심지혜 기자 = 정부 기관을 비롯해 통신사와 카드사 등 전방위적으로 해킹 사고가 잇따르자 정부가 1600여개 IT 시스템을 대상으로 전면 보안점검에 착수한다. 정보보호 및 개인정보관리체계인증(ISMS-P) 등 기존 체크 리스트 중심의 국가 보안인인증 제도를 현장 심사 중심으로 바꾸고 중대 결함이 발생하면 그 인증을 취소하겠다는 방침이다. 화이트해커를 활용한 상시 취약점 점검 체계도 구축하며, 정보보호 공시 의무 대상도 상장사 전체로 확대하기로 했다.

과학기술정보통신부는 이같은 내용의 범부처 정보보호 종합대책을 마련했다고 22일 밝혔다.

이번 대책은 국가안보실을 중심으로 과기정통부, 금융위원회. 개인정보보호위원회, 국가정보원, 행정안전부 등 관계부처가 함께 우선 실행할 수 있는 단기과제 위주로 제시한 것으로 이후 중장기 과제를 망라하는 국가 사이버안보 전략을 연내 수립할 계획이다.

◆ 통신·금융·공공 등 1600여개 IT시스템 일제 보안 취약점 점검…보안인증제 '체크리스트→현장 심사' 위주로 전환

우선 해킹에 대한 국민들의 만연한 불안감 해소를 위해 공공·금융·통신 등 국민 대다수가 이용하는 1600여개 IT 시스템들에 대해 대대적인 보안 취약점 점검을 실시한다.

특히 통신사의 경우에는 실제 해킹 방식의 강도 높은 불시 점검을 추진하고 주요 IT 자산에 대한 식별·관리체계를 구축하도록 한다. 아울러 소형기지국(펨토셀)은 안정성이 확보되지 않을 경우 즉시 폐기하는 등 보다 엄격히 조치할 계획이다.

보안 인증 제도는 현장 심사 중심으로 전환하고 중대한 결함이 발생할 경우 인증을 취소할 방침이다. 모의해킹 훈련과 화이트해커를 활용한 상시 취약점 점검 체계도 구축한다.

기업의 보안 해태로 인한 해킹 발생 시 소비자의 입증책임 부담을 완화하고 통신·금융 등 주요 분야는 이용자 보호 매뉴얼을 마련하는 등 소비자 중심의 피해구제 체계를 구축하는 한편, 개인정보 유출 사고로 인한 과징금 수입을 피해자 지원 등 개인정보 보호에 활용할 수 있도록 기금 신설을 검토한다.

◆ 해킹 정황 확보시 기업 신고 안해도 직권조사…CEO 보안책임 명문화

정부가 해킹 정황을 확보한 경우 기업의 신고 없이 현장을 신속하게 조사할 수 있도록 조사 권한을 확대하고 해킹 지연 신고, 재발 방지 대책 미이행, 개인·신용 정보 반복 유출 등 보안 의무 위반에 대해서는 과태료·과징금 상향, 이행강제금 및 징벌적 과징금 도입 등 제재를 강화한다.

국가정보원의 조사·분석 도구를 민간과 공동 활용하는 한편, 인공지능(AI) 기반 지능형 포렌식실을 구축해 분석 시간을 건당 14일에서 5일로 단축한다.

공공의 정보보호 예산과 인력을 정보화 대비 일정 수준 이상으로 확보하고 정부 정보보호책임관 직급을 기존 국장급에서 실장급으로 높인다. 666개사 수준인 정보보호 공시 의무 기업도 상장사 전체로 확대하고 공시 결과를 토대로 보안 역량 수준을 등급화하여 공개하는 제도를 도입할 계획이다.

이와 함께 최고경영자(CEO)의 보안 책임 원칙을 법령상 명문화하고 보안최고책임자의 권한을 대폭 강화하는 한편, 자체적인 보안 역량이 부족한 중소·영세기업 지원을 위해 정보보호 지원센터 늘리기로 했다.

금융·공공기관 등이 소비자에게 설치를 강요하는 보안 SW를 단계적으로 제한하기로 했다. 인증 체계는 비밀번호와 생체인식 등을 조합하는 방식으로 강화한다.

획일적인 물리적 망분리를 데이터 보안 중심으로 전환하고 클라우드 보안 요건을 개선해 민간 사업자의 공공 진출 요건을 완화할 방침이다. 공공분야에 사용되는 IT제품에 대해서는 SW구성요소 제출을 제도화하고 정보보호 서비스 범위를 AI보안과 SW공급망보안 등 관련 전문기업으로 범위를 확대한다.

국가적 암호체계를 양자내성암호 기술 등으로 전환하고 공공부문 자율주행차, 지능형로봇, 드론 등에 대해 보안 체크리스트 가이드라인을 수립한다. 정보보호 인력 양성을 위해 관련 대학과 대학원의 기능도 강화한다.

정부는 국가 핵심 인프라인 주요정보통신기반시설을 범부처 위원회인 정보통신기반시설보호위원회(위원장 국조실장)를 통해 지정을 확대하고 부처별로 파편화된 해킹 사고조사 과정을 체계화하고 민관군 합동 조직인 국가정보원 산하 국가사이버위기관리단과 정부 부처 간의 사이버 위협 예방·대응 협력을 강화하기로 했다.

배경훈 부총리는 "과기정통부 등 관계부처는 이번 종합대책이 현장에서 제대로 작동될 때까지 실행 과정을 면밀히 살펴볼 것이며 부족한 부분을 지속적으로 보완해 나가겠다"며 "앞으로도 정부는 AI 강국을 뒷받침하는 견고한 정보보호 체계 구축을 취해 총력을 기울이겠다"고 강조했다.


◎공감언론 뉴시스 siming@newsis.com