“사이버보안 인력 몇 명이냐”...해킹과 전쟁, 전 상장사 정보보호 공시 의무화

정호준 기자 TALK

입력 2025.10.22. 오후 11:29

기사원문

추천

성별

말하기 속도

이동 통신망을 이용하여 음성을 재생하면 별도의 데이터 통화료가 부과될 수 있습니다.

“해킹과 전쟁” 종합대책 발표

정보보호 투자·인력 현황 등
내년 상반기부터 공개해야
CEO 책임 법령으로 명문화

“민간기업에만 고강도 제재
공공과는 이중잣대” 지적도

배경훈 부총리 겸 과학기술정보통신부 장관이 22일 오후 서울 종로구 정부서울청사 본관 브리핑룸에서 ‘범부처 정보보호 종합대책’ 관련 브리핑을 하고 있다. [이승환 기자]내년 상반기부터 모든 상장사는 보안 부문에 대한 투자액과 전문인력 인원 등 자사 정보보호 현황을 공개해야 한다. 또 해킹과 개인정보 유출이 발생하면 기업 최고경영자(CEO)의 책임을 법에 명문화하는 방안이 함께 추진된다. 올 들어 SK텔레콤부터 예스24, KT, 롯데카드를 비롯해 국가 전체가 해킹의 타깃이 되고 있는 가운데 정부가 칼을 빼든 대목이다.

배경훈 과학기술부총리 겸 과학기술정보통신부 장관은 22일 이러한 내용을 담은 범부처 정보보호 종합대책을 발표했다. 배 부총리는 “정부는 통신, 금융, 공공에서 연일 발생한 보안 사고로 인한 현 상황을 국가비상사태에 준하는 위기 상황으로 받아들이고 있다”고 강조했다.

정부는 우선 기업들의 보안 투자를 끌어내고자 정보보호 공시 의무 기업 대상을 전체 상장사로 확대하기로 했다. 현재 정보보호 공시 의무 대상은 연 매출액이 3000억원 이상인 기업 또는 일일 사용자가 100만명을 넘는 정보기술(IT) 서비스 기업이다. 정부는 이를 대폭 확대해 모든 상장사가 매년 자사 정보보호 투자 현황을 공개하도록 한다는 방침이다.

이에 따라 정보보호 공시 의무 대상 기업은 현재 666곳에서 2700여 곳으로 늘어날 전망이다. 배 부총리는 “보안 투자를 비용이 아닌 기업의 성패를 가르는 필수 투자로 전환하겠다”고 강조했다. 그동안 국내 기업들은 보안 영역을 비용으로 간주하고 소극적으로 투자를 진행해왔는데, 이에 대한 패러다임 전환을 주문한 것이다. 민감 정보를 다루는 금융사들은 비상장사까지 공시 대상에 포함하도록 하는 법안을 발의한다.

아울러 정부는 “의사결정권자인 CEO도 해킹 책임에서 자유롭지 못하다”고 설명했다. 기업 대표들의 책임을 강화하도록 CEO의 보안 책임 원칙을 법령상 명문화하는 방안도 추진한다. 해킹 발생 시 기업들의 지연 신고나 재발 방지 대책 미이행에 대한 처벌도 강화한다. 앞서 KT는 해킹 사고가 발생한 지 3일이 지나 신고하고 관련 서버를 폐기하는 등의 모습을 보여 비판의 도마에 오른바 있다.

기업의 반복적인 정보 유출에 대해서는 징벌적 과징금도 도입할 예정이다. 현행법상 개인정보와 관련된 유출 사고에 대해서는 전체 매출의 3%가 과징금 상한이다.

배경훈 부총리 겸 과학기술정보통신부 장관이 22일 오후 서울 종로구 정부서울청사 본관 브리핑룸에서 ‘범부처 정보보호 종합대책’ 관련 브리핑을 하고 있다. [이승환 기자]배 부총리는 “영국은 매출의 10%를 과징금으로 부과하는 사례도 있다”며 “해외 사례나 연구를 통해 징벌적 과징금 규모와 강도를 정할 것”이라고 설명했다. 유명무실하다는 비판을 받아온 보안 인증 제도인 ISMS 등에 대해서도 현장 심사를 강화하고, 결함이 발생하면 인증을 취소하는 등 실효성을 보완한다는 계획이다.

또한 기존에는 기업이 침해 사실을 신고해야 정부가 조사에 나설 수 있었던 제도를 보완해 침해 정황이 확인되면 기업 신고 없이도 먼저 조사할 수 있도록 정부의 조사 권한을 확대한다.

한편 과징금 상향 등 기업에 대한 제재 수위가 높아지는 가운데 일각에서는 ‘온나라시스템’ 침해 등 마찬가지로 해킹이 반복되는 공공 영역에 대한 제재는 미비하다는 지적도 나온다.

배 부총리는 “정부도 책임에서 자유롭지 못하다는 것을 인정한다. 무조건 제재를 통해 기업을 압박한다기보다 공동으로 문제를 해결할 것”이라며 “공공 정보보호 예산과 인력을 내년 1분기부터 확대해 공공 영역도 강화하겠다”고 설명했다.

[매경DB]종합대책의 시작으로 정부는 통신과 금융, 주요 공공 서비스 등 국민 대다수가 이용하는 1600여 개 IT 시스템에 대해 취약점 점검을 즉각 진행한다. 해킹 표적이 된 통신사에 대해서는 실제 해킹 방식으로 불시 점검을 진행한다.

이와 함께 낡은 방식으로 유지되던 보안 제도를 개선하기 위해 금융사와 공공기관이 이용자에게 관행적으로 설치를 강요해온 보안 소프트웨어를 단계적으로 제한하고, 민간 클라우드의 공공 진출 요건 완화도 추진한다.

이번 대책은 국가안보실을 중심으로 과기정통부와 금융위원회, 개인정보보호위원회, 국가정보원, 행정안전부가 합동으로 수립한 것이다. 배 부총리는 “이번 대책은 사안의 시급성을 고려해 즉시 실행할 수 있는 단기 과제 위주이며, 중장기 과제를 망라하는 대책은 연내 마련할 것”이라고 말했다.

홍준호 성신여대 융합보안공학과 교수는 이번 대책에 대해 “정보보호 공시와 함께 CEO의 책임 강화 등은 긍정적”이라면서 “다만 지금 정보보호 공시 대상 기업 중에도 보안인력이 5명 미만인 곳이 70%에 달하는 현실에서 기업들의 보안인력 확보에 대해서도 대책이 필요하다”고 말했다.

정호준 기자(jeong.hojun@mk.co.kr)

이 기사는 언론사에서 IT 섹션으로 분류했습니다.

기사 섹션 분류 안내

기사의 섹션 정보는 해당 언론사의 분류를 따르고 있습니다. 언론사는 개별 기사를 2개 이상 섹션으로 중복 분류할 수 있습니다.

닫기