"모의해킹 훈련, 화이트해커 활용해 상시점검…해외 시스템 도입도 검토"
공공기관·금융·통신 등 점검…진위성 확보 위해 정부가 사후 확인"
![[서울=뉴시스] 추상철 기자 = 배경훈 부총리 겸 과학기술정보통신부 장관이 22일 오후 서울 종로구 정부서울청사에서 열린 '범부처 정보보호 종합대책' 합동브리핑에서 발언하고 있다. 왼쪽부터 이용석 행정안전부 디지털정](https://imgnews.pstatic.net/image/003/2025/10/22/NISI20251022_0021024891_web_20251022143437_20251022191718473.jpg?type=w860)
[서울=뉴시스] 심지혜 박은비 기자 = 정부가 최근 잇따른 해킹 사고에 대응해 정보보호 인증제도를 현장 심사 중심으로 전환하고, 사후관리를 대폭 강화한다. 국제 인증기관의 시스템 도입도 검토한다.
공공·금융·통신 등 1600여개 주요 IT 시스템에 대한 대대적인 보안 취약점 점검도 대대적으로 추진하기로 했다.
과학기술정보통신부는 22일 국가안보실을 중심으로 과기정통부, 금융위원회. 개인정보보호위원회, 국가정보원, 행정안전부 등 관계부처 합동으로 범부저 정보보호 종합대책을 발표했다.
정부 "ISMS 현장심사로 전환"…화이트 해커 모의침투도 수시로
이번 대책의 핵심은 ISMS 인증제도 개편이다. 단순 서류 확인에 그치던 ISMS 심사를 현장 중심으로 바꾸고, 중대한 결함 발생 시 인증을 취소하는 등 실효성을 강화하겠다고 밝혔다.
과기정통부는 ISMS, ISMS-P 등 보안인증제도 체계 개편을 통해 기존의 서류·체크리스트 중심 심사를 현장 점검 중심으로 전환한다. 중대한 결함이 발견될 경우 인증을 취소하는 등 사후관리를 강화하기로 했다. 모의해킹 훈련과 화이트해커를 활용한 상시 취약점 점검 체계도 구축한다.
배경훈 부총리는 “한 번 인증 받았다고 안전하다고 두지 않겠다”며 "현장 점검, 실효성, 사후관리 측면에서 ISMS를 좀 더 고도화하고 상시 점검 강화 체계로 만들어 가겠다"고 강조했다.
정부는 모의해킹 훈련과 화이트해커를 활용한 상시 취약점 점검 체계도 구축한다. 보안 전문가들 사이에서는 체크리스트를 추가하는 수준에 그쳐 서류 기반의 형식적 절차 한계를 벗어나기 어렵다는 지적이 나온다. 정부는 이런 부문들을 해소한다는 입장이다.
배 부총리는 ISMS 심사 기준 구체화 방안의 예시로 정보보호최고책임자(CISO) 평가를 들었다. 그는 "현재 ISMS 심사 6개 기관이 각각 다른 기준을 갖고 있다"며 "CISO를 두고 있는지 여부만 확인할 게 아니라, CISO가 실제로 투자 권한과 시스템 점검 권한을 얼마나 갖고 있는지까지 구체적으로 평가하겠다"고 말했다.
이어 "전체 점검 항목이 100개라면, CISO가 100개 모두를 검증할 수 있는지, 아니면 50%만 검증할 수 있는데도 CISO가 있다는 이유로 100점을 부여하는지 이런 기준을 구체적으로 잡겠다"며 "ISMS 인증을 받으면 충분히 정보보호가 됐다고 할 수 있도록 개선할 것"이라고 강조했다.
아울러 필요한 경우 해외 인증기관 시스템 도입도 검토할 방침이다.
배 부총리는 "ISMS 여러 인증 체계를 보면서 필요하면 국제 인증 기관의 시스템들도 일부 도입할 필요가 있다는 생각이 들었다"며 "현재 우리가 하고 있는 ISMS의 적용 범위와 실효성을 철저히 분석하고, 신뢰할 수 있는 국제 인증 기관의 인증 솔루션이나 시스템 도입도 검토할 계획"이라고 설명했다.
IT 시스템 1600여개 긴급 점검…정부, 사후 점검으로 진위 확인
정부는 인증제도 체계 개편과 함께, 국민 생활과 직결된 주요 IT 시스템 1600여개에 대한 긴급 점검을 즉시 추진한다. 점검 대상은 공공기관 기반시설 288개, 중앙·지방 행정기관 152개, 금융기관 261개, 통신·플랫폼 등 ISMS 인증기업 949개다.
배 부총리는 "1600개 기관을 검수하기 위해 인력과 역량을 총결집하고 있다"며 "이외에도 검토해야 할 기관이 많다"고 말했다.
이어 "이외 기관들은 직접 검수하기보다는 모의훈련이나 화이트해커 등을 통해 점검할 수 있도록 대책을 수립할 것"이라며 "올해는 단기적인 대책이라고 보면 되고, 단기적인 시스템 점검에 대해서는 충분히 역량을 결집해서 진행하겠다"고 밝혔다.
1600개 기관에 대한 조사의 경우 사전점검은 각 기관이 자체적으로 진행한다. 사후 검증은 CISO를 통해 실시한다. 이에 조사 진위성을 확보하기 위해 정부가 별도로 사후 점검도 실시한다는 방침이다.
류제명 과기정통부 제2차관은 "모든 조사를 정부가 하기는 어렵기 때문에 최고경영책임자(CEO) 책임 아래 철저히 조사가 될 수 있도록 하겠다"며 "정보통신기반 시설에 대한 점검도 있어 사후 점검 일정을 짜서 사후에 정부가 철저히 점검하겠다"고 했다.
이용석 행정안전부 디지털정부혁신실장 "민간이 아닌 공공은 정보통신기반시설로 지정된 곳도 있고 그 외 중요 시설을 점검한다"며 "실질적으로 운영 사업을 통해 즉시 조치 가능한 건 즉시 해야 하고, 예산 규정에도 보안은 우선할 수 있는 규정이 있어 그 범위 내에서 가용 지원을 활용해 조치할 것"이라고 말했다.
그는 "단기적 투자가 더 수반돼야 할 경우 내년 예산을 확보하는 과정을 거쳐서 대책이 실제 이행될 수 있도록 준비 중"이라고 덧붙였다.
정부는 이번 점검이 과태료나 처벌을 목적으로 한 것이 아니라고 강조했다.
류 차관은 "기업의 잘못을 찾아 징벌하려는 게 아니라 현재 어디가 취약한가를 빨리 확인해서 사고를 막자는 취지가 강하다"며 "조사 과정에서 문제점이 발견되면 공식 조사 단계로 전환되고, 발견 즉시 바로 시정·보완하도록 할 것"이라고 말했다.
마지막으로 배 부총리는 "정보보호와 해킹은 단순히 몇 개월 사이 일이 아니고 과거부터 여러 공격이 있었고, 여러 기업들과 정부에서도 대책을 계속 세우고 방안을 내세웠지만 계속해서 문제들이 발생했다"며 "이런 정보보호 관련 이슈는 앞으로도 계속 일어날 것이고, 그래서 정부도 책임이 없다고 할 수 없다. 많은 책임을 가지고 있다고 생각한다"고 말했다.
이어 "지금의 단기적인 대응 그리고 중장기적 종합 대책을 12월에 발표할 것"이라며 "국민들이 안심하고 서비스를 이용할 수 있도록 우리가 계속 노력하겠다"고 덧붙였다.
한편, 과기정통부는 내년도 정보보호 관련 예산(정부안)을 8.1%가량 증액한다는 목표다. 올해는 311억원이었는데 내년에는 3366억원으로 늘린다는 계획이다.
'">
'">
'">
'">
'">
.jpg?type=nf190_130)
.jpg?type=nf190_130)