[아이티데일리] 정부가 국가안보실을 중심으로 하는 범부처 정보보호 종합대책을 22일 발표했다. 최근 통신, 금융, 공공 등 분야에서 연달아 발생한 대형 해킹 사고에 대응한 조치다.

배경훈 과학기술정보통신부 장관이 직접 브리핑한 이번 대책은 과학기술정보통신부, 금융위원회, 개인정보보호위원회, 국가정보원, 행정안전부 등이 합동으로 수립했으며, 즉시 실행 가능한 단기 과제 중심으로 구성됐다.

1,600개 IT 시스템 전수점검 및 직권조사 도입

이번 대책에 따라 정부는 공공, 금융, 통신 등 국민 대다수가 이용하는 1,600여 개 IT 시스템에 대한 전수 보안점검을 즉시 추진한다. 실제 해킹 방식을 적용해 통신사 대상 불시 점검을 실시하며, KT 무단결제 사건의 원인인 소형기지국(펨토셀)은 안정성 미확보 시 즉시 폐기한다는 방침이다.​

특히 가장 주목되는 조치는 해킹 정황 포착 시 기업 신고가 없어도 정부가 직권으로 현장 조사할 수 있도록 조사 권한을 확대한 것이다. 이는 KT가 해킹 후 3일 만에 신고하고 서버를 폐기한 사건과, LG유플러스가 해킹 정황에도 불구하고 신고하지 않아 조사가 지연된 사례 등에 기인한 조치다.

해킹 지연 신고, 재발 방지 대책 미이행 등 보안 의무 위반에 대해서는 과태료·과징금 상향과 징벌적 과징금을 도입한다. 배경훈 장관은 “영국의 경우 전체 매출의 10%까지 부과하는 사례가 있다”며 제재 강화 의지를 밝혔다.

CEO 책임 강화, 정보보호 공시 확대

기업의 정보보호 공시 의무도 강화한다. 현재 666개사에서 상장사 전체인 약 2,700여 개사로 공시 대상을 확대한다는 계획이다. 내년 상반기부터 시행되며, 금융사의 경우 비상장사까지 포함하는 법안을 발의할 예정이다. 공시 결과는 등급화해 공개한다.

뿐만 아니라 CEO의 보안 책임 원칙을 법령에 명문화하고, 증거 인멸·늑장 신고 등 보안 사고에 CEO 책임이 크다고 판단되면 해임까지 가능하도록 법률을 개정할 계획이다. 또한 보안최고책임자(CISO·CPO)에게는 모든 IT 자산 통제권, 이사회 정기 보고 의무화, 정보보호 인력·예산 편성·집행 권한 등이 부여될 예정이다.

망분리 폐지, 데이터 보안 전환

망분리 폐지와 데이터 중심의 보안으로의 전환은 기존에 추진되던 부분이지만, 이번 대책에서도 다시 한 번 강조됐다. 18년간 유지된 획일적 물리적 망분리를 데이터 보안 중심으로 본격 전환(2026년~)하고, 금융·공공기관이 소비자에게 강요하던 보안 소프트웨어를 단계적으로 제한(2026년~)한다는 계획이다. 대신 다중 인증과 AI 기반 이상 탐지 체계 등으로 보안을 강화한다.

더불어 공공분야 IT 시스템·제품에 대해 소프트웨어 구성요소(SBOM) 제출을 2027년까지 제도화하고, AI 에이전트 보안 플랫폼 등 차세대 보안 기업을 집중 육성하며, 화이트해커 연 500여 명 양성 체계를 구축할 계획이다. 

이번 대책은 올해 2,600만 가입자 정보를 유출당한 SK텔레콤에 이어 펨토셀 해킹 사건을 겪은 KT, 그리고 LG유플러스까지 결국 해킹 피해를 신고하면서 전 국민이 사용하는 통신 3사의 보안 문제가 이슈가 된 데다 금융권 해킹 사고가 지난해의 2배인 8건으로 늘어난 것이 핵심 배경으로 작용했다. 배경훈 장관은 브리핑에서 “보안은 비용이 아닌 기업 생존과 국민 신뢰를 지키는 투자”라고 강조했다.

다만 업계에서는 보안 강화 취지에는 공감하면서도 “외부 해커의 공격에 의한 보안 사고로 CEO의 거취까지 정부가 개입해 좌지우지하는 것은 전례가 없다”며 과도한 처벌 중심 조치라는 의견을 조심스레 제기하고 있다.

정부는 연내 중장기 과제를 포함한 ‘국가 사이버안보 전략’을 별도로 수립할 계획이다.