국가안보실 중심 '범부처 정보보호 종합대책' 수립
신고 없어도 정부가 현장조사…피해 지원 기금 신설
공공기관 대응 훈련 고도화·기업 CISO 권한 확대
연간 30개사 차세대 보안 기업 집중 육성 계획
신고 없어도 정부가 현장조사…피해 지원 기금 신설
공공기관 대응 훈련 고도화·기업 CISO 권한 확대
연간 30개사 차세대 보안 기업 집중 육성 계획
|
22일 과학기술정보통신부는 대국민 브리핑을 통해 국가 전반의 정보보호 역량을 강화하기 위한 '범부처 정보보호 종합대책'을 발표했다.
국가안보실을 중심으로 과기부와 금융위원회, 개인정보보호위원회, 국가정보원, 행정안전부 등 관계부처 합동으로 수립된 대책은 즉시 실행할 수 있는 단기과제 위주로 제시했다. 이후 중장기 과제를 망라하는 '국가 사이버안보 전략'을 연내 수립할 계획이다.
|
우선 정부는 해킹에 대한 만연한 불안감 해소를 위해 공공·금융·통신 등 국민 대다수가 이용하는 공공기관 기반시설 288개 등 1600여개 IT 시스템들에 대해 대대적인 보안 취약점 점검을 즉시 추진한다.
특히 통신사의 경우, 실제 해킹 방식의 강도 높은 불시 점검을 추진하고 주요 IT 자산에 대한 식별·관리체계를 구축하도록 한다. 아울러 소형기지국(펨토셀)은 안정성이 확보되지 않을 경우 즉시 폐기하는 등 보다 엄격히 조치할 계획이다.
아울러 보안 인증 제도(ISMS, ISMS-P)를 현장 심사 중심으로 전환하고 중대한 결함이 발생할 경우 인증을 취소하는 등 실효성을 제고하고 사후관리를 강화한다.
소비자 중심의 피해구제 체계 구축에도 돌입한다. 기업의 보안 해태로 인한 해킹 발생 시 소비자의 입증책임 부담을 완화하고 통신·금융 등 주요 분야는 이용자 보호 매뉴얼을 마련한다. 또 개인정보 유출 사고로 인한 과징금 수입을 피해자 지원 등 개인정보 보호에 활용할 수 있도록 기금 신설을 검토한다.
이와 함께 해킹 정황을 확보한 경우에는 기업의 신고 없이도 정부가 신속히 현장을 조사할 수 있도록 조사 권한을 확대한다는 방침이다.
◇상장사 모두 정보보호 공시 의무 기업화…CISO·CPO 권한 대폭 강화
공공과 민간 모두 보안 인식을 키우기 위한 환경을 조성한다. 공공기관의 경우, 2026년 1분기까지 정보보호 예산 및 인력을 정보화 대비 일정 수준 이상으로 확보해야 하는 동시에 위기 상황 대응 역량 강화 훈련 고도화, 공공기관 경영평가 시 사이버보안 배점 상향(0.25→0.5점) 등을 추진한다.
금융·공공기관의 경우, 2026년부터 소비자에게 설치를 강요하는 보안 소프트웨어를 단계적으로 제한하고 비밀번호, OTP 등을 조합한 다중 인중이나 인공지능(AI) 기반 이상 탐지 시스템 등의 활용을 통해 보안을 강화한다.
민간기업과 관련해서는 기존 666곳이었던 정보보호 공시 의무 기업을 상장사 2700여개 기업 전체로 확대하는 한편, 공시 결과를 토대로 보안 역량 수준을 등급화해 공개하는 제도를 도입한다. 동시에 최고경영자(CEO)의 보안 책임 원칙을 법령상 명문화하고 모든 IT 자산에 대한 통제권을 부여하거나 이사회 정기 보고를 의무화하는 등 보안최고책임자(CISO·CPO)의 권한을 대폭 강화한다.
정부 차원에서는 보안산업 육성을 위해 AI 에이전트 보안 플랫폼 등 차세대 보안 기업을 연간 30개사 규모로 집중 육성하고, 정보보호 서비스의 범위를 확대한다. 아울러 연간 500명 화이트해커 양성 체계를 기업 수요로 재설계하고 정보보호특성화대학(학부, 7개교), 융합보안대학원(석박사, 9개교)을 5극3특 권역별 성장엔진 산업에 특화된 보안 인재 양성 허브로 기능을 강화하는 등 전주기 보안 인력 양성을 체계화·고도화한다.
사고 현장의 혼선 최소화를 위해서는 원스톱 신고체계 도입 및 상호 정보공유 강화 등의 조치로 부처별로 파편화된 해킹 사고조사 과정을 체계화한다는 계획이다.
배경훈 부총리 겸 과기부 장관은 대국민 브리핑에서 "과기부 등 관계부처는 이번 종합대책이 현장에서 제대로 작동될 때까지 실행 과정을 면밀히 살펴볼 것이며 부족한 부분을 지속적으로 보완해 나가겠다"며 "앞으로도 정부는 AI 강국을 뒷받침하는 견고한 정보보호 체계 구축을 위해 총력을 기울이겠다"고 말했다.
