앞으로 정보기술(ICT) 분야 외에도 국내 2700여 개 상장사는 모두 정보보호 상황을 공시해야 한다. 통신사에서 해킹 사고 정황이 발견될 경우 정부는 기업의 신고가 없더라도 선제적으로 현장 조사에 나선다.
배경훈 과학기술부총리 겸 과학기술정보통신부 장관은 22일 서울 종로구 정부서울청사에서 이러한 내용을 담은 ‘범부처 정보보호 종합대책(종합대책)’을 발표했다.
정부는 최근 분야를 막론하고 반복되는 해킹 사고에 대응하기 위해 국가안보실을 중심으로 관계부처 합동으로 민간과 공공을 아우르는 종합대책을 수립했다. 종합대책은 즉시 실행할 수 있는 단기과제를 중심으로 하며, 이후 정부는 중장기 과제를 망라하는 ‘국가 사이버안보 전략’을 연내 수립할 계획이다.
먼저 현재 666개 기업에만 적용되는 정보보호 공시 의무가 상장사 전체로 확대된다. 이에 상장사는 보안 역량 수준을 등급화 해 공개해야 한다. 배 부총리는 “추후 구글, 메타 등 글로벌 기업에도 정보보호 공시 의무 적용 방안을 검토할 계획”이라고 말했다. 기업 CEO의 보안 책임 원칙을 법령상 명문화하고 보안최고책임자(CISO·CPO)의 권한도 강화한다. 보안 역량이 부족한 중소·영세기업을 위해 밀착 보안 지원도 강화한다.
정부는 국민 대다수가 이용하는 1600여 개 IT 시스템에 대해 대대적인 보안 취약점 점검에 나선다. 공공기관의 기반시설 288개, 중앙·지방 행정기관 152개, 금융업 261개, 통신·플랫폼 등 ISMS 인증기업 949개 등이 이에 포함된다. 통신사의 경우 실제 해킹을 시뮬레이션한 강도 높은 불시 점검을 추진한다. SMS나 ARS로 간편하게 가능했던 스마트폰 소액결제에는 다중인증 적용을 검토한다.
기업의 보안 관리 부실로 해킹이 발생했을 때 통신·금융 등 주요 분야에서는 이용자 보호 매뉴얼을 마련해 소비자 중심의 피해 구제 체계도 구축한다. 개인정보 유출 사고로 인한 과징금 수입은 피해자 지원 등 개인정보 보호에 활용할 수 있도록 기금을 신설하며, 나아가 정부가 해킹 정황을 확보했을 때는 기업의 신고 없이도 정부가 신속히 현장을 조사할 수 있도록 정부의 조사 권한을 넓힌다. 해킹 지연 신고, 재발 방지 대책 미이행, 개인·신용 정보 반복 유출 등 보안 의무 위반에 대해서는 과태료·과징금 상향, 이행 강제금 및 징벌적 과징금 도입 등 제재를 강화한다.
범국가적 사이버 안보 협력도 강화한다. 국가 핵심 인프라인 주요정보통신기반시설에서 사고가 발생할 경우 국가사이버위기관리단을 침해사고대책본부로 지정해 즉각적인 조사에 나선다. 민관군 합동 조직인 국가정보원 산하 국가사이버위기관리단과 정부 부처 간 사이버 위협 예방·대응 협력을 강화한다.
