해킹 정황만으로도 정부 직권조사…과태료도 상향

앞으로는 기업의 신고 없이 해킹 정황만으로도 정부가 신속히 현장을 조사할 수 있도록 직권조사가 가능해진다. 보안 의무 위반에 대해선 과태료와 과징금을 상향하고, 이행강제금과 징벌적 과징금도 도입해 제재를 강화하기로 했다.

과학기술정보통신부와 금융위원회 등 관계부처는 22일 전방위적 해킹 사고로 가속화된 국민 불안을 해소하기 위해 이 같은 내용의 '범부처 정보보호 종합대책'을 발표했다.

먼저 정부는 대대적인 보안 취약점 점검을 추진한다. 공공기관과 금융기관, 통신 등 국민 대다수가 이용하는 1,600여개 IT시스템이 대상이다.

특히 통신사의 경우에는 실제 해킹 방식의 강도 높은 불시 점검을 추진하고, IT 자산에 대한 식별·관리체계를 구축하기로 했다. 이번 무단 소액결제의 원인으로 꼽힌 소형기지국(펨토셀)은 안정성이 확보되지 않을 경우 즉시 폐기하는 등 보다 엄격히 조치할 예정이다.

그간 기업의 해킹 신고가 있어야만 가능했던 정부의 조사도 해킹 정황을 확보한 경우엔 기업 신고 없이도 신속하게 현장을 조사할 수 있도록 정부의 조사 권한이 확대된다.

아울러 해킹 지연 신고, 재발 방지 대책 미이행, 개인·신용 정보 반복 유출 등 보안 의무 위반에 대해서는 과태료·과징금 상향, 이행강제금과 징벌적 과징금 도입 등 제재를 강화한다.

개인정보 유출 사고로 인한 과징금 수입은 피해자 지원 등 개인정보 보호에 활용할 수 있도록 기금 신설을 검토한다.

기업의 보안 해태로 인한 해킹이 발생했을 경우 소비자의 입증책임 부담을 완화하고 통신·금융 등 주요 분야는 이용자 보호 매뉴얼을 마련하는 등 소비자 중심의 피해구제 체계도 구축한다.

아울러 국가정보원의 조사·분석 도구를 민간과 공동 활용하고 AI 기반 지능형 포렌식실을 구축해 분석시간을 건당 14일에서 5일로 대폭 단축키로 했다.

이밖에도 공공부터 정보보호 역량 강화에 솔선수범하기 위해 공공의 정보보호 예산, 인력을 정보화 대비 일정 수준 이상으로 확보한다.

정부 정보보호책임관 직급을 기존 국장급에서 실장급으로 상향하고, 위기 상황 대응 역량 강화 훈련 고도화, 공공기관 경영평가 시 사이버보안 배점 상향 등도 추진한다.

민간의 경우 정보보호 공시 의무기업을 상장사 전체로 확대하고, 공시 결과를 토대로 보안역량 수준도 등급화해 공개키로 했다. CEO의 보안 책임 원칙도 법령상 명문화하고 보안최고책임자(CISO)의 권한도 대폭 강화한다.

보안산업 육성을 위한 AI 에이전트 보안 플랫폼 등 차세대 보안 기업의 집중 육성안도 발표됐다. 차세대 보안 기업을 연 30개사 육성하고 보안 최고 전문가로 연 500여명 규모의 화이트해커도 양성한다.

부처별로 파편화된 해킹 사고조사 과정을 체계화하고, 민관군 합동 조직인 국가정보원 산하 국가사이버위기 관리단과 정부부처간 사이버 위협 예방과 대응 협력을 강화한다는 방침이다.

배경훈 부총리는 이날 대국민 브리핑에서 "과기정통부 등 관계부처는 이번 종합대책이 현장에서 제대로 작동될 때까지 실행 과정을 면밀히 살펴볼 것이며 부족한 부분을 지속적으로 보완해 나가겠다"며 "앞으로도 정부는 AI 강국을 뒷받침하는 견고한 정보보호 체계 구축을 취해 총력을 기울이겠다고 말했다.