통신사엔 불시 침투 테스트 시행
‘신고 없이도 직권 조사’ 제도 개선
정부가 공공·금융·통신 등 국민 대다수가 이용하는 1600여개 정보기술(IT) 시스템에 대한 대대적인 보안 취약점 점검에 나서기로 했다. 대규모 개인정보 유출 사고가 발생한 이동통신사를 상대로는 실제 해킹 방식의 강도 높은 불시 점검을 벌일 방침이다. 아울러 해킹 정황이 발견될 경우 기업 신고가 없더라도 정부의 직권조사가 가능해진다. 민·관을 가리지 않고 반복되는 해킹 사고에 대응하기 위해 범정부 차원에서 칼을 빼든 것이다.
과학기술정보통신부와 기획재정부, 금융위원회, 행정안전부, 국가정보원 등 관계부처는 22일 정부서울청사에서 ‘범부처 정보보호 종합대책’을 발표했다. 배경훈 부총리 겸 과기정통부 장관은 “최근 일련의 보안 사고들을 국가 비상사태에 준하는 위기 상황으로 인식하고 있다”며 “보안 없이는 인공지능(AI) 강국도 사상누각”이라고 말했다.
우선 국민 생활과 밀접한 1600여개 IT 시스템을 전수 점검한다. 통신사 외 플랫폼 업계 등 주요 기업은 자체 보안 점검 결과를 최고경영자(CEO) 확인을 거쳐 정부에 제출하도록 했다. 이후 정부가 순차적으로 사후 점검을 진행한다. CEO의 보안 책임도 한층 강화한 것이다. 류제명 과기정통부 2차관은 “CEO 책임 아래 철저한 조사를 진행할 것을 부탁드렸다”고 강조했다.
개인정보 유출 시 2차 피해가 큰 통신사에 대해서는 불시 점검을 추진한다. 사전 상의 없는 해킹 침투 테스트를 통해 통신사 시스템 전반의 보안 상태를 점검하겠다는 것이다. 정부는 이동통신 3사로부터 이미 동의를 받은 상태라고 설명했다.
이와 함께 KT 해킹에 악용된 소형 기지국(펨토셀)은 안정성이 확보되지 않을 경우 즉시 폐기하기로 했다. 통신업계 관계자는 “평상시 보안 체계를 더욱 강화하고 통신사 자체 대책도 마련할 것”이라고 말했다.
정부는 해킹 사실을 은폐하거나 늑장 신고하는 관행을 차단하기 위해 기업 신고 없이도 정부가 직접 현장조사에 나설 수 있도록 제도를 개선하기로 했다. 또 해킹 지연 신고, 재발방지 대책 미이행 등 보안 위반에 대한 과태료·과징금을 상향하고 징벌적 과징금도 도입할 계획이다. 배 부총리는 “현재 (개인정보보호법에 따라) 전체 매출의 3%까지 과징금 부과가 가능하다”며 “정보통신망법으로도 그 정도의 과징금 부과가 가능하도록 정책을 연구 중”이라고 말했다. 이밖에 정보보호 공시 의무를 전체 상장사로 확대하는 방안도 추진된다. 배 부총리는 “올 12월 안으로 구체적인 국가 사이버안보 전략 계획을 발표할 예정”이라고 말했다.
다만 업계에서는 해킹 관련 정부의 조사권 확대가 자칫 민간기업에 대한 경찰권 남용으로 이어질 수 있다는 우려도 나온다. 한 업계 관계자는 “해킹 정황만으로 정부가 모든 민간기업을 자유롭게 조사하게 된다면 사찰 악용 또는 기업활동 위축으로 이어질 위험성이 있다”며 “민·관이 함께 정부 직권조사의 기준점을 마련해 나가야 할 것”이라고 말했다.
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
