【드래곤 스포츠】 보증업체놀이터추천홍보 : 프로그램제작판매제작의뢰 : 스포츠분석 : 무료스포츠중계tv : 섹시bj움짤 : 뉴스 : 안구정화

로그인

글쓰기

[IT뉴스]징벌적 과징금·직권 조사·화이트 해커…정부, 보안 체계 손본다[일문일답]

온카뱅크관리자

2025-10-22 17:57:33

<div id="layerTranslateNotice" style="display:none;"></div> 통신·금융·공공 1600개 핵심 시스템 전면 점검 착수 징벌적 과징금·직권조사·인증 고도화 등 제도 전방위 개편 화이트 해커 활동 법제화 등 민간 대응력도 높인다 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="ptJchYjJEI">
 [이데일리 권하영 기자] 정부가 최근 잇따른 해킹 및 정보유출 사태에 대응해 범부처 차원의 정보보호 종합대책을 발표했다. 
 이번 대책은 △국가·공공·민간 IT 인프라에 대한 대규모 취약점 점검 △징벌적 과징금 도입 등 제재 강화 △화이트 해커 활용 확대 및 원스톱 신고 체계 구축 △인증 및 정보보호 공시 의무 강화 등을 골자로 한다. 통신·금융·공공부문을 아우르는 실질적 보안 수준 제고와 거버넌스 재정비가 핵심이다.
 <figure class="figure_frm origin_fig" contents-hash="1441614ea0fd9b12ca446e90476e77947231fd59ffe954e15f391b90c9f8d62b" dmcf-pid="7y8iEId8Om" dmcf-ptype="figure">
 <img alt="배경훈 부총리 겸 과학기술정보통신부 장관이 22일 서울 종로구 정부서울청사에서 열린 합동브리핑에서 범부처 정보보호 종합대책을 발표하고 있다. (사진=연합뉴스)" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202510/22/Edaily/20251022175347590lams.jpg" data-org-width="670" dmcf-mid="0rEl5UCEIC" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202510/22/Edaily/20251022175347590lams.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 배경훈 부총리 겸 과학기술정보통신부 장관이 22일 서울 종로구 정부서울청사에서 열린 합동브리핑에서 범부처 정보보호 종합대책을 발표하고 있다. (사진=연합뉴스)
 </figcaption>
 </figure>
 <div contents-hash="32bee3143a7ab4b054cfad27922d8d376e76d0c32056c8ad7f9a351eb583dd5e" dmcf-pid="zW6nDCJ6Ir" dmcf-ptype="general">
 22일 정부서울청사에서 열린 기자브리핑에서 과학기술정보통신부, 국가정보원, 행정안전부, 금융위원회, 개인정보보호위원회 등 관계 부처가 참석해 정부 직권조사 도입, 정보보호관리체계(ISMS) 인증 고도화, 공공 및 민간의 역할 분담, 외산 클라우드 진입 규제, 보안 인력 확대 등 다양한 이슈를 중심으로 질의가 집중됐다. 아래는 일문일답이다.
 </div>
 1600개 기업기관 검수 후 장기대책 마련
 -1600개 시스템을 점검할 인원과 자원이 가능한지. 어느 방식으로 어느 기간 동안 진행하는지.
 △(배경훈 부총리 겸 과기정통부 장관) 1600여개 기업·기관을 다 검수하기 위해 인력과 역량을 총 결집하고 있다. 다만 1600개 점검은 단기 목표로 시행하는 것이고 그 외에도 검토해야 할 기관이 많다. 이런 기관들은 직접 검수하기보다 모의훈련이나 화이트해커 등을 통해 점검할 수 있게 전반적 대책을 수립하겠다.
 -이번 대책이 얼마나 효과 있을 거라 보고 있나. 사이버보안 컨트롤타워 법제화 논의도 추진되나.
 △(배경훈 부총리) 법제화는 아직 검토 중이다. 전반적 컨트롤타워는 국가안보실에서 진행할 것이며, 국정원 산하 국가사이버위기관리단 중심으로 범부처 공동 대응·협력 체계를 만들어갈 것이다. 이번 대책으로 모든 것을 한 번에 해결할 생각은 아니다. 지금은 단기 대책이므로 현재는 1600여개 시스템을 점검하는 동시에 중장기 계획을 빨리 세워 연내 발표하겠다.
 △(류제명 과기정통부 차관) 통신 3사는 모의해킹이 아닌 운영 중 실전 침투 테스트를 하려고 한다. 통신 3사로부터 동의를 다 받았고, 외부 전문가들을 활용해 통신 3사 망에 대해 불시 점검 형식으로 취약점 분석을 전면적으로 할 것이다. 나머지 주요 기업들에는 각 기업의 최고정보보호책임자(CISO)들한테 자체 점검을 요청했다. 그 결과를 최고경영자(CEO) 확인을 받아 정부에 제출하도록 안내했다. 그 결과를 가지고 중요 기업부터 사후 점검 시행하는 방식이 될 것이다.
 -ISMS 등 보안인증제도 강화, 소비자 인증 책임 부담 완화, 정보보호 공시 의무 기업 확대 등 내용은 제도 보완이 필요해 보이는데 구체적 시행 시기는.
 △(배경훈 부총리) 법제화하고 있는 부분들도 있고 법령을 이제 준비해야 하는 부분도 있다. 빠르게 준비할 수 있게 정부부처에서 국회와 긴밀히 논의 중이다.
 -해킹이 수시로 일어난 기업에는 과태료나 과징금 상향, 징벌적 과징금 도입한다는데. 상향 규모가 대략 어느 정도 될까.
 △(배경훈 부총리) 현재는 개인정보나 금융 관련 이슈 발생시 전체 매출의 3% 과징금을 부과할 수 있다. 현재 정보통신망법 차원에서도 그 정도 과징금을 부과할 수 있는 부분에 대해 정책 연구를 진행 중이다. 런 해외 사례를 종합해 적절한 징벌적 과징금 범위와 강도를 정하겠다.
 △(신진창 금융위 사무처장) 금융권 과징금 제도가 매출액 3% 또는 50억원으로 사안별로 달라, 과징금 수준을 전반적으로 높이려는 계획이다. 관련해 전자금융거래법 개정안을 조만간 발의하겠다.
 △(이정렬 개보위 사무처장) 개인정보보호법은 2023년 법 개정으로 위반 행위에 대해 전체 매출의 3%를 과징금으로 부과할 수 있다. 다만 이것으로 부족하다는 의견에 따라 위원회에서 별도 TF를 만들어 제도개선 방안을 지난 9월11일 발표했고, 현행 과징금 제도의 부족한 부분과 가중 처리를 포함해 검토하려 한다.
 정부 직권 조사 도입해 즉각 대응 체제로
 -예전부터 과기정통부가 사이버안보 대책방안 등 발표했는데, 계속 해킹 사태가 일어나는 배경에 그전 대책에서 어떤 점이 부족했는지.
 △(류제명 과기정통부 차관) 예전에는 사고가 난 서버 위주로 침투 경로를 파악하는 접근법이었으나 이제 전수조사로 일체 점검을 하겠다는 것이다. 통신3사도 모든 인터넷 연결 지점들이 침투 가능성이 있다는 전제로 전면적인 점검을 할 것이다. 지금까지 대책들이 사고가 생긴 특정 지점의 문제 위주로 국지적 대책이라고 볼 수 있다면, 지금은 비상 사태 수준으로 인식하고 종합 대책을 연내 마련할 것이다.
 △(배경훈 부총리) 기존에 해킹 사고가 발생하면 신고 없이 정부가 조사할 수 없었다. 그래서 직권 조사를 하겠다는 게 가장 큰 차이점이다. 또 각 기업이 정보보호 평가를 받고 투자나 인력에 대해 정보보호 사항을 의무 공시한다는 것이 큰 차이점이다. 정보보호 공시가 되면 기업들은 부담이 될 수 있으나, 투자를 늘려 정보보호 체계를 완비해 국민 신뢰를 받을 기회로 삼을 수 있을 거라 보고 있다.
 -기업 제재 수위 높이는 위주 대책인데. 정부기관도 해킹 피해 책임에서 자유롭지 못하다. 공공 영역은 재발방지 어떻게 할 건가. 정부 직권 조사는 정보통신망법 개정해야 하는데 어떤 근거로 할 건지.
 △(배경훈 부총리) 직권 조사 관련 법안은 발의돼 있다. ISMS 신뢰도 관련해서도 강화하겠다. ISMS 인증을 받고도 해킹이 일어나고 있는데, 한 번 인증받았다고 안전하다고 보지 않고 현장 점검과 사후 관리 측면에서 고도화하며 상시 점검 강화 체계로 가겠다. 정기적 점검을 의무화하고, 인증 이후에도 보안 수준이 유지되는지 확인하는 방식으로 제도를 고도화하겠다.
 △(행안부)개인정보 유출은 공공과 민간 기업 구분이 없다. 똑같이 유출에 대한 조사나 여러 징벌적 조항들에 대해서 동일한 조건을 갖고 있다. 근본적으로는 정보보호 전문성도 강화하고 관련된 조직 체계를 통해 예산 투자하고 정보보호 체계를 강화하는 것이 근본적인 개선 방안이다.
 -자발적 신고와 보안 투자 유인을 위해 인센티브 전략도 중요한데 대응책은. 금융사는 중복 규제 이유로 정보보호 공시 의무 대상이 아니었는데 이번에 포함된 건지. 국정원은 조사분석 도구를 민간에 공유하겠다고 했는데, 위협 인텔리전스 고도화가 미흡했다는 지적에 대해 어떤 계획이 있는지.
 △(배경훈 부총리) 무조건 페널티 주기 위한 제도를 만들겠다기보다 보안에 대한 적극적 투자를 유도하고자 한다. 세제지원 등 인센티브는 종합대책 수립 때 추가 논의할 수 있다. 지금은 대응 측면에서 적극 대응하겠다는 거다. 단계적으로 인센티브 구체 방안도 포함해서 발표하겠다.
 △(신진창 금융위 사무처장) 앞으로 과징금 부과 과정에서 인증받았거나 매년 취약점 분석 평가, 앞으로의 정보보호공시를 충분히 했는지를 구체적 산정에 반영하겠다. 또 상장사 중심 공시 제도가 도입될 텐데, 금융사 대부분이 상장사이나 소규모 금융사는 상장돼 있지 않다. 그래서 전자금융거래법 개정 작업에 이런 공시 대상을 비상장 회사까지 포함하는 법안을 발의할 예정이다.
 △(김창섭 국정원 3차장) 차세대 사고 조사 도구를 개발해 올 6월부터 시범적으로 몇 개 기관이 활용 중이다. AI 기능을 탑재해 침해 흔적을 용이하게 파악하고 취약점을 자동 분석하는 도구로, 이제 정식으로 관련 부처에 배포할 거다. 저희가 늘 뒤따라가며 사고 조사를 수동적으로 하는 면이 있었는데, 가능한 적극적으로 능동적인 사고 대응이 가능하게 도구를 개선하겠다.
 정부 책임도 커…무조건적 기업 제재보다 공동해결
 -정부 책임도 있는데 정부가 기업에만 제재를 가하는 게 근본 대책이 될 수 있나. 또 CEO, CISO 권한 강화고 법적 명문화하겠다는데. 전국민적 해킹 피해 확산시 CEO 해임 등 최고 수준도 생각하시는지.
 △(배경훈 부총리) 정부 책임 크다는 것 인정한다. 정부 차원에서 무조건적 제재로 기업 압박하기보다 기업과 공동으로 문제 해결하길 원한다. 그러기 위해 기업의 역할, 정부의 역할이 있다. 문제 해결을 위해 내년도 예산 7.7%, 4012억원 정도 정보보호 투자를 할 계획이다. CEO가 실제 법적으로 보안 책임을 질 수 있도록 법령상 명문화하는 것도 고민 중이다.
 △(신진창 금융위 사무처장). 금융회사 지배구조법은 금융사 CEO와 정보보호 책임자 등 임원이 책무를 지게 돼 있고 그것을 금융위에 제출하게 돼 있다. 올해 들어 특정 카드사의 정보 유출 사고가 있었는데, 금융감독원 조사가 진행 중이고 조만간 정리될 것이다. 금융회사 지배구조법에 따르면 사안에 따라 CEO 해임까지 이뤄지는 법적 징계가 가능하다.
 -클라우드 보안 요건 개선해 민간 사업자 진출 요건 완화한다는데. 해외 클라우드 사업자 개방도 추진되나. 또 정보보호 공시 의무 상장사 전체 진행은 내년부터 바로 되나.
 △(배경훈 부총리) 내년 상반기부터 정보보호 공시 의무 시행할 계획이다. 현재 관련 고시와 제도 개정 절차를 준비하고 있고, 기업들이 적응할 수 있는 유예 기간도 함께 검토 중이다. 기업들이 무리 없이 제도에 적응할 수 있도록 세부 시행 계획을 마련해서 조만간 발표하겠다.
 △(김창섭 국정원 3차장) 공공 분야에 민간 클라우드 진출 관련해서는 제도적으로 상중하 등급 중 중상 등급에 있어 공공 분야도 민간 클라우드가 법적으로 다 진출해 있다. 민간 요구사항은 잘 알고 있으나, 자칫하면 외산 클라우드가 국내에 진출하는 물꼬를 여는 계기가 될 수도 있어, 관련 부처 및 기업들과 긴밀히 협의해야 한다.
 -통신사 불시 점검 관련해 민간 기업 내부를 정부가 마음껏 들여다볼 수 있다고 오해 소지 생길 수도. 화이트 해커들도 법적인 요건 때문에 할 수 없는데, 그런 활동을 확대하는 방안을 검토하실 건지. 
 △(배경훈 부총리)동의 없이 불시 점검하지 않는다. 통신3사들과 협의하고 동의 구해 점검하고 있다. 불필요한 오해를 없애기 위해 법제화하겠다. 공익적 화이트 해커 활동을 적극 활용하는 부분에서도 정부에서 긍정적으로 검토하고 있다. 
 △(신진창 금융위 사무처장)전자금융거래법에 따라 금융사는 현재 매년 1회 취약점 분석 평가를 받게 돼 있다. 취약점 분석 평가의 수행 주체는 금융보안원이 중심이고, 모의 해킹 등도 하고 있다. 버그바운티라고 해 금융사 참여를 독려해 금융사가 이용하는 서비스와 새로운 신규 서비스 SW간 우월성을 경쟁하고 포상하는 제도도 있다.
 -안정성이 확보되지 않은 펨토셀의 즉시 폐기 관련, 이미 유통된 펨토셀은 정부가 어떻게 수거해 폐기가 이뤄지는지. 
 △(류제명 차관) 통신3사가 전체적으로 운영되는 것과 장기 미사용 상태, 인증 범위 벗어난 것 등 모든 현황이 파악돼 있다. 회수 문제는 쉽지 않은데, 그래서 통신3사가 이 화이트 리스트 체계로 확실한 아이디가 확인되지 않는 펨토셀들은 더 이상 망에 붙을 수 없도록 해서, 미회수 장비라도 통신 3사 망에는 더 붙을 수 없게 마련됐다.
 권하영 (kwonhy@edaily.co.kr) 
 </section> 
 </div> 
 Copyright © 이데일리. 무단전재 및 재배포 금지.

댓글 총 0개

이번주 포인트랭킹

매주 일요일 밤 0시에 랭킹을 초기화합니다.

14,000상품권
23,000상품권
32,000상품권

업체홍보/구인 더보기

놀이터홍보 더보기

지식/노하우 더보기

판매의뢰 더보기

포토 더보기