| 한스경제=석주원 기자 | 정부가 최근 연이은 해킹 사고에 대응하기 위해 국가안보실을 중심으로 범부처 정보보호 종합대책을 발표했다. 배경훈 부총리 겸 과학기술정보통신부 장관은 “현 상황을 국가비상사태에 준하는 위기 상황으로 받아들이고 있다”며 강력한 대응 의지를 천명했다.
이번 대책의 핵심은 공공·금융·통신 등 국민 대다수가 이용하는 1600여개 IT 시스템에 대한 전면적인 보안 취약점 점검이다. 점검 대상에는 공공기관 기반시설 288개, 중앙·지방 행정기관 152개, 금융업 261개, ISMS 인증기업 949개 등이 포함된다.
특히 통신사에 대해서는 실제 해킹 방식을 활용한 강도 높은 불시 점검을 실시하며 보안 문제가 지적된 소형기지국(펨토셀)은 안정성 확보가 안 될 경우 즉시 폐기한다는 방침이다. 최근 KT의 펨토셀이 불법 장비를 악용해 통신망에 접속해 일부 가입자를 대상으로 무단 소액결제 등 금융피해가 발생한 사고 이후 펨토셀에 대한 안정성 확인 필요성이 확대되고 있다.
정부는 해킹 정황을 확보한 경우 기업의 신고 없이도 신속히 현장 조사를 할 수 있도록 조사 권한을 확대한다. 현행법상 기업의 자진 신고 없이는 조사가 불가능했던 제약을 없애는 것이다.
제재 수위도 크게 높아진다. ▲해킹 지연 신고 ▲재발 방지 대책 미이행 ▲개인정보 반복 유출 등 보안 의무 위반 시 과태료·과징금을 상향하고 이행강제금 및 징벌적 과징금 도입을 추진한다. 현재 개인정보 유출 과징금 상한이 매출의 3%인데 영국처럼 10% 수준까지 부과하는 방안을 검토 중이다. 업계에서는 법적 제재 확대가 기업들의 사이버 보안 구축 활동을 유인할 것으로 기대하고 있다.
정보보호 공시 의무 기업도 현재 666개사에서 전체 상장사인 약 2700개사로 확대한다. 공시 결과를 토대로 기업별 보안 역량 수준을 등급화해 공개하는 제도도 도입된다. CEO의 보안 책임 원칙을 법령상 명문화하고 보안최고책임자(CISO·CPO)의 권한을 대폭 강화한다. 모든 IT 자산에 대한 통제권을 부여하고 이사회 정기 보고를 의무화하며 정보보호 인력·예산 편성·집행 권한을 실질적으로 보장한다.
내년 1분기부터는 공공의 정보보호 예산과 인력도 정보화 예산 대비 일정 수준 이상으로 하도록 의무화한다. 정부 정보보호책임관 직급을 기존 국장급에서 실장급으로 상향하고 공공기관 경영평가 시 사이버보안 배점을 0.25점에서 0.5점으로 2배 상향한다.
형식적이라는 비판을 받아온 정보보호 ISMS·ISMS-P 인증을 현장 심사 중심으로 전환하고 중대한 결함 발생 시 인증을 취소하는 등 실효성을 제고한다. 모의해킹 훈련과 화이트해커를 활용한 상시 취약점 점검 체계도 구축한다. 화이트해커 양성도 연 500여명 규모로 확대하며 기업 수요에 맞춰 재설계한다.
기업의 보안 관리 소홀로 인한 해킹 발생 시 소비자의 입증 책임 부담을 완화하고 통신·금융 등 주요 분야는 이용자 보호 매뉴얼을 마련한다. 개인정보 유출 사고 과징금 수입을 피해자 지원 등 개인정보보호에 활용할 수 있도록 기금 신설을 검토한다.
정부는 글로벌 변화에 부합하는 보안환경을 조성하기 위해 금융·공공기관 등이 소비자에게 설치를 강요하는 보안SW를 2026년부터 단계적으로 제한하고 다중인증과 인공지능(AI)기반 이상 탐지 시스템 등의 활용을 통해 보안을 강화한다.
획일적인 물리적 망분리를 데이터 보안 중심으로 본격 전환하고 클라우드 보안 요건 개선 등 민간 사업자의 공공 진출 요건 완화를 추진한다. 이는 글로벌 사이버 보안의 트렌드인 제로 트러스트(Zero Trust) 보안 모델을 반영한 것이다. 양자내성암호(PQC) 기술 개발 등 국가적 암호체계 전환도 착수한다.
보안업계와 전문가들은 이번 대책의 방향성을 대체로 긍정적으로 평가했다. 그동안 제도를 만들어 놓고도 관리 감독이 소홀했던 부분을 이번 기회에 법제화하고 업체의 책임을 강화하는 만큼 보안 솔루션과 서비스에 대한 수요도 증가할 것으로 예상되기 때문이다. 특히 정보보호 공시제도의 확대로 대상 기업이 4배 이상 증가하면서 보안 시장 활성화에 대한 기대감도 높아진다.
하지만 무엇보다 공공 부문의 책임과 예산 확충이 선행돼야 한다는 지적도 있다. 내년 정부의 해킹 대응 예산안은 488억원으로 올해(736억원)보다 대폭 삭감된 상황이다. 업계에서는 민간 기업의 예산 확대를 요구하기 전에 정부와 공공기관부터 정보보호 예산과 인력 확충에 적극 나서야 한다고 강조했다.
업계 일각에서는 조심스러운 분위기도 읽힌다. 여론이 악화되면서 정부가 서둘러 정보보호 종합대책을 발표하기는 했지만 실제 시행까지는 상당한 시일이 걸릴 것이라는 시각이다. 서둘러 정책을 추진하다가 같은 사태가 반복되면 더 큰 비판에 직면할 수 있기 때문에 시간을 들이더라도 보다 꼼꼼하게 살필 것으로 보고 있다. 여기에 예산 문제도 어떻게 재원을 마련해야 할지 논의가 필요하다.
증권가에서는 이번 대책이 공공과 민간의 사이버 보안 투자 확대로 이어질 것으로 내다봤다. 국내 보안 기업들은 B2G 사업 비중이 높아 4분기에 실적이 집중되는 계절성을 보이는 경향이 있지만 이번 대책 발표 이후 내년 상반기까지 지속적인 보안 솔루션 및 서비스 수요가 발생할 것이라는 분석이다. 실제로 범정부 정보보호 종합대책이 발표된 직후 보안 관련 주식들은 일제히 상승세로 장을 마감했다.
보안업계 관계자는 “올해 상반기 통신사에서 대형 보안 사고가 발생한 이후 상담 문의는 증가하는 추세지만 실질적으로 성과로 이어지기까지는 시간이 걸릴 것으로 보고 있다”며 “이번 정부 대책 발표가 그동안 저평가 받아온 국내 보안 산업 전반에 긍정적인 영향을 주기를 기대한다”고 말했다.
Copyright ⓒ 한스경제 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
