정부, '사이버 안보 총력전' 선포…공공·금융·통신 1600개 시스템 전면 점검

범부처 정보보호 종합대책 발표
보안 해태 기업 제재 대폭 강화

배경훈 부총리 겸 과학기술정보통신부 장관이 22일 서울 종로구 정부서울청사에서 열린 합동브리핑에서 범부처 정보보호 종합대책을 발표하고 있다. 연합뉴스

정부가 연이은 해킹 사고로 인한 국민 불안을 해소하고, 국가 전반의 사이버 방어 능력을 근본적으로 강화하기 위한 범부처 대책을 내놨다. 공공·금융·통신 등 핵심 IT 시스템 1천600여 개를 즉시 점검하고, 보안 관리가 부실한 기업에는 강력한 제재를 가한다는 방침이다.

과학기술정보통신부와 금융위원회, 개인정보보호위원회, 국가정보원, 행정안전부 등은 22일 정부서울청사에서 '범부처 정보보호 종합대책'을 발표했다. 정부는 최근 SK텔레콤의 유심정보 유출(2,300만명), 롯데카드 고객정보 유출, KT 펨토셀 부실 관리로 인한 무단 결제 사건 등 연이은 해킹 사태를 국가적 위기로 규정하고, 범정부 차원의 통합 대응 체계를 가동하기로 했다.

이번 대책은 ▷핵심 IT 시스템 전면 점검과 상시 취약점 탐지 체계 구축 ▷소비자 중심의 사고 대응 ▷재발 방지 대책 실효성 제고 ▷민관 정보보호 투자 확대 ▷범국가적 사이버안보 협력 강화로 요약된다.

정부는 국민 생활과 밀접한 1천600여 개 시스템에 대한 보안 취약점을 즉시 점검하고, 통신사에는 불시 점검을 포함한 강도 높은 보안 검증을 시행한다. 특히 안정성이 검증되지 않은 펨토셀 장비는 즉시 폐기 조치할 계획이다.

보안 인증제도(ISMS·ISMS-P)는 현장 중심으로 개편하고, 결함이 심각한 기업은 인증을 취소한다. 모의해킹 훈련과 화이트해커를 활용한 상시 점검 체계도 도입한다.

소비자 보호도 강화된다. 해킹 사고 발생 시 피해자가 아닌 기업이 책임을 입증하도록 하고, 개인정보 유출 과징금을 피해자 지원 기금으로 전환하는 방안이 검토된다. 신고 지연, 대책 미이행, 반복 유출 기업에는 과징금 상향 등 제재 수위를 높인다.

인공지능(AI) 기반 지능형 포렌식 시스템을 도입해 사고 분석 기간을 기존 14일에서 5일로 단축한다. 국가정보원이 보유한 조사·분석 도구도 민간과 공동 활용해 대응 효율을 높인다.

공공기관은 정보화 예산 대비 일정 수준 이상의 보안 예산과 인력을 확보해야 하며, 정보보호책임관 직급도 실장급으로 상향된다. 경영평가 시 사이버보안 배점은 0.25점에서 0.5점으로 두 배 늘어난다. 민간 부문에서는 상장사 전체에 보안 공시 의무를 부여하고, 공시 결과를 등급화해 공개한다. CEO의 보안책임을 법으로 명시하고, 중소기업에는 정보보호 지원센터를 10개소에서 16개소로 확대해 밀착 지원한다.

또한 금융·공공기관이 소비자에게 보안 소프트웨어 설치를 강제하는 관행을 내년부터 단계적으로 폐지하고, 대신 다중 인증과 AI 기반 이상 탐지 시스템을 도입한다. 물리적 망분리 정책은 데이터 보안 중심으로 전환되며, 2027년까지 공공 IT 시스템에는 소프트웨어 구성요소(SBOM) 제출이 의무화된다. 보안 취약 제품은 조달 대상에서 제외된다.

정부는 보안산업을 국가 전략 산업으로 육성한다는 목표도 세웠다. AI 보안, 소프트웨어 공급망 보안 등 신산업 분야의 보안 기업 30곳을 매년 발굴·지원하고, 화이트해커 500명 양성 체계를 기업 수요 중심으로 개편한다. 양자내성암호 기술 개발과 자율주행차·드론 등 신기술 분야 보안 가이드라인 마련도 추진한다.

정부는 아울러 국가정보원 산하 국가사이버위기관리단을 중심으로 민·관·군 합동 대응 체계를 강화하고, 부처별로 분산된 해킹 조사 절차를 통합한다. 주요 기반시설 지정도 확대해 사이버 위협 정보 공유를 활성화할 방침이다.

배경훈 부총리 겸 과기정통부 장관은 "이번 대책이 현장에서 실효성 있게 작동할 수 있도록 실행 과정을 면밀히 점검하겠다"며 "AI 강국을 뒷받침할 견고한 정보보호 체계를 구축하는 데 총력을 다하겠다"고 했다.