[서울이코노미뉴스 박희만 기자] 정부가 최근 잇따른 해킹사고로 인한 국민 불안해소와 국가 핵심인프라 보호를 위해 공공·금융·통신 등 1600여개 정보기술(IT) 시스템의 보안 취약점을 전면 점검한다.
특히 통신사를 대상으로 강도 높은 불시점검을 시행하고, 해킹정황이 포착될 경우 기업의 신고가 없어도 즉시 현장조사가 가능하도록 대응체계를 강화한다.
과학기술정보통신부는 22일 관계부처와 함께 ‘범부처 정보보호 종합대책’을 수립했다고 밝혔다.
이번 대책은 국가안보실 주도로 과기정통부, 금융위원회, 개인정보보호위원회, 국가정보원, 행정안전부 등이 참여하는 범정부 사이버 안보 대응체계의 일환이다.
◇전 국민 이용하는 1600개 시스템 보안점검
정부는 국민생활과 밀접한 IT 시스템의 보안 취약점을 즉시 점검하기로 했다.
대상에는 공공기관 기반시설 288개, 중앙·지방 행정기관 152개, 금융업 261개, 통신·플랫폼 등 ISMS 인증기업 949개가 포함된다.
특히 최근 KT 무단 소액결제 사태 등으로 불안감이 커진 통신사에 대해서는 실제 해킹시나리오를 적용한 불시점검을 진행할 예정이다.
주요 IT 자산에 대한 식별·관리 체계를 강화하고, 안전성이 확보되지 않은 소형기지국(펨토셀)은 즉시 폐기 조치한다.
정부는 정보보호관리체계(ISMS)와 정보보호 및 개인정보보호 관리체계(ISMS-P)의 심사방식을 서류 중심에서 현장중심 평가로 전환한다.
SK텔레콤, KT 등 주요 통신사들이 인증을 보유하고도 해킹을 막지 못했다는 점을 반영한 조치다.
심사 과정에서 중대한 결함이 확인될 경우 인증을 즉시 취소하고, 화이트해커를 활용한 상시 모의해킹 및 취약점 점검체계도 구축한다.
정부는 해킹징후를 확보했을 때 기업의 신고여부와 관계없이 현장조사가 가능하도록 조사권한을 확대한다.
또한 해킹사고 지연신고, 재발방지 대책 미이행, 개인정보·신용정보의 반복유출 등 보안의무 위반 기업에는 과태료·과징금 상향 및 징벌적 과징금을 부과할 방침이다.
국가정보원의 조사·분석 도구를 민간에도 공동 활용하고, AI 기반 지능형 포렌식 시스템을 도입해 해킹 분석기간을 기존 14일에서 5일로 단축한다.
◇정보보호 공시의무 기업 상장사 전체로 확대
모든 상장사가 정보보호 공시의무를 지게 된다.
이에 따라 공시대상 기업은 기존 666곳에서 약 2700곳으로 확대되며, 공시 결과를 토대로 보안역량 등급제가 도입된다.
또 CEO의 보안책임 원칙이 법령에 명문화되고, 최고정보보호책임자(CISO)와 개인정보보호책임자(CPO)의 권한이 강화된다.
모든 IT 자산에 대한 통제권을 부여하고, 이사회 정기보고를 의무화한다는 계획이다.
내년부터는 획일적인 물리적 망분리 정책을 데이터 중심 보안체계로 전환한다.
최근 롯데카드 해킹사고로 금융권 망분리의 한계가 드러난 만큼, 클라우드·AI 환경에 맞는 보안체계를 구축하기 위한 조치다.
또 주요 정보통신기반시설은 ‘정보통신기반시설보호위원회’를 통해 지정·점검하고, 침해사고 발생시 ‘국가사이버위기관리단’을 중심으로 통합 대응한다.
◇보안, 국가전략 산업화…사이버안보 인력·기술 육성
정부는 연간 500명의 화이트해커를 양성하고, 양자컴퓨팅 시대를 대비해 양자내성암호 기술 개발을 본격화한다.
또 자율주행차·드론·지능형 로봇 등 신기술 모빌리티에 대한 보안 체크리스트와 가이드라인도 마련할 계획이다.
과기정통부 관계자는 “이번 종합대책은 해킹사고를 사후 대응이 아닌 선제적 예방중심 체계로 전환하기 위한 것”이라며 “연내 ‘국가 사이버안보 전략’을 마련해 중장기 정보보호 과제를 총망라할 계획”이라고 말했다.