정부가 정보보호 공시 제도 의무 대상을 전 상장사로 확대하고 등급제를 도입해 정보보호 투자를 유도하기로 했다. 또 해킹 정황이 있는 경우, 정부가 기업 신고 없이도 신속히 직접 조사가 가능하도록 한다.

배경훈 부총리 겸 과학기술정보통신부 장관은 22일 오후 정부서울청사에서 대국민 브리핑을 통해 '범부처 정보보호 종합대책'을 발표했다.

정부는 분야를 가리지 않고 연이어 발생하는 해킹 사고의 심각성을 인지, 국가안보실을 중심으로 과기정통부·금융위원회·개인정보보호위원회·국가정보원·행정안전부 등 관계부처 합동으로 이번 종합대책을 마련했다. 이번 대책에는 시급성을 고려해 즉시 실행이 가능한 단기 과제가 중심이다. 정부는 중장기 과제를 망라하는 '국가 사이버안보 전략'을 연내 수립할 계획이다.

우선 민간의 정보보호 투자 활성화를 위해 정보보호 공시 제도 의무대상을 전체 상장사로 확대한다. 현재 의무 대상 기업은 정보통신서비스 일일 평균 이용자 수 100만명 이상인 기업 등으로 666개사다. 전체 상장사(약 2700개사)로 확대되면 의무 대상 기업이 4배 이상 늘어나게 된다. 특히 기업 공시를 바탕으로 기업별 보안 역량 수준을 등급화해 공개하기로 했다.

정부도 솔선수범에 나선다. 공공의 정보보호 예산·인력을 정보화 대비 일정 수준 이상으로 확보하는 한편 정부 정보보호책임관 직급을 기존 국장급에서 실장급으로 상향한다. 또 공공기관이 사이버 보안 강화에 관심을 높이도록 경영평가 시 사이버 보안 배점을 상향한다.

그간 사이버 보안 침해 사고에서 외면됐던 소비자를 피해 구제 중심에 둬 국민 불안을 줄이는 방안도 제시했다. 구체적으로 기업의 보안 해태(책임을 다하지 않음)로 인해 사이버 침해사고가 발생할 경우 소비자의 입증책임 부담을 완화한다. 또 개인정보 유출 사고로 인한 과징금 수입을 피해자 지원 등 개인정보 보호에 활용할 수 있도록 기금을 신설하는 방안도 검토하기로 했다.

정부의 사이버 침해 사고 조사 권한도 강화한다. 정부가 해킹 정황을 확보할 경우 기업 신고 없이도 신속히 조사가 가능하도록 관련 법을 개정할 계획이다. 현행법상 당국은 기업의 신고가 있어야만 조사에 나설 수 있다. 당국이 보안 사고 정황을 파악해도 기업이 은폐하거나 거부하면 조사할 수 없었다.

정부는 또 국민 불안감 해소를 위해 국민 대다수가 이용하는 정보기술(IT) 시스템을 대상으로 대대적인 보안 취약점에 즉시 나서기로 했다. 통신사의 경우 더 엄격히 조치할 방침이다.

이 밖에도 획일적인 물리적 망분리를 데이터 보안 중심으로 본격 전환하고, 클라우드 보안 요건 개선 등을 통해 민간 사업자의 공공 진출 요건 완화도 추진한다. 또 인공지능(AI) 에이전트 보안 기업 등 차세대 보안 기업을 집중 육성하는 한편 화이트해커를 연간 500여명 양성하는 체계도 마련한다.

배경훈 부총리는 “무조건적인 제재를 통해 기업을 압박한다기보다 기업도 해킹 이슈를 해결하기를 원한다”며 “정부 역시 해킹 이슈에 자유롭지 않으며 민·관이 함께 고민해야 하는 상황”이라고 말했다.

조재학 기자 2jh@etnews.com