내년 상반기부터 모든 상장사는 보안 부문에 대한 투자액과 전문인력 인원 등 자사 정보보호 현황을 공개해야 한다. 또 해킹과 개인정보 유출이 발생하면 기업 최고경영자(CEO)의 책임을 법에 명문화하는 방안이 함께 추진된다. 올 들어 SK텔레콤부터 예스24, KT, 롯데카드를 비롯해 국가 전체가 해킹의 타깃이 되고 있는 가운데 정부가 칼을 빼든 대목이다.

배경훈 과학기술부총리 겸 과학기술정보통신부 장관은 22일 이러한 내용을 담은 범부처 정보보호 종합대책을 발표했다. 배 부총리는 "정부는 통신, 금융, 공공에서 연일 발생한 보안 사고로 인한 현 상황을 국가비상사태에 준하는 위기 상황으로 받아들이고 있다"고 강조했다.

정부는 우선 기업들의 보안 투자를 끌어내고자 정보보호 공시 의무 대상을 전체 상장사로 확대하기로 했다. 현재 정보보호 공시 의무 대상은 연 매출액이 3000억원 이상인 기업 또는 일일 사용자가 100만명을 넘는 정보기술(IT) 서비스 기업이다. 정부는 이를 대폭 확대해 모든 상장사가 매년 자사 정보보호 투자 현황을 공개하도록 한다는 방침이다.

이에 따라 정보보호 공시 의무 대상 기업은 현재 666곳에서 2700여 곳으로 늘어날 전망이다. 배 부총리는 "보안 투자를 비용이 아닌 기업의 성패를 가르는 필수 투자로 전환하겠다"고 강조했다. 그동안 국내 기업들은 보안 영역을 비용으로 간주하고 소극적으로 투자를 진행해왔는데, 이에 대한 패러다임 전환을 주문한 것이다. 민감 정보를 다루는 금융사들은 비상장사까지 공시 대상에 포함하도록 하는 법안을 발의한다.

아울러 정부는 "의사결정권자인 CEO도 해킹 책임에서 자유롭지 못하다"고 설명했다. 기업 대표들의 책임을 강화하도록 CEO의 보안 책임 원칙을 법령상 명문화하는 방안도 추진한다. 또 해킹 발생 시 기업들의 지연 신고나 재발 방지 대책 미이행에 대한 처벌을 강화한다. 앞서 KT는 해킹 사고가 발생한 지 3일이 지나 신고하고 관련 서버를 폐기하는 등의 모습을 보여 비판의 도마에 오른 바 있다.

기업의 반복적인 정보 유출에 대해서는 징벌적 과징금도 도입할 예정이다. 현행법상 개인정보와 관련된 유출 사고에 대해서는 전체 매출의 3%가 과징금 상한이다. 배 부총리는 "영국은 매출의 10%를 과징금으로 부과하는 사례도 있다"며 "해외 사례나 연구를 통해 징벌적 과징금 규모와 강도를 정할 것"이라고 설명했다.

또한 기존에는 기업이 침해 사실을 신고해야 정부가 조사에 나설 수 있었던 제도를 보완해 침해 정황이 확인되면 기업 신고 없이도 먼저 조사할 수 있도록 정부의 조사 권한을 확대한다.

한편 과징금 상향 등 기업에 대한 제재 수위가 높아지는 가운데 일각에서는 '온나라시스템' 침해 등 마찬가지로 해킹이 반복되는 공공 영역에 대한 제재는 미비하다는 지적도 나온다.

배 부총리는 "정부도 책임에서 자유롭지 못하다는 것을 인정한다. 무조건 제재를 통해 기업을 압박한다기보다 공동으로 문제를 해결할 것"이라며 "공공 정보보호 예산과 인력을 내년 1분기부터 확대해 공공 영역도 강화하겠다"고 설명했다.

종합대책의 시작으로 정부는 통신과 금융, 주요 공공 서비스 등 국민 대다수가 이용하는 1600여 개 IT 시스템에 대해 취약점 점검을 즉각 진행한다. 해킹의 표적이 된 통신사에 대해서는 실제 해킹 방식으로 불시 점검을 진행한다.

이번 대책은 국가안보실을 중심으로 과기정통부와 금융위원회, 개인정보보호위원회, 국가정보원, 행정안전부가 합동으로 수립한 것이다. 배 부총리는 "이번 대책은 사안의 시급성을 고려해 즉시 실행할 수 있는 단기 과제 위주이며, 중장기 과제를 망라하는 대책은 연내 마련할 것"이라고 말했다.

홍준호 성신여대 융합보안공학과 교수는 이번 대책에 대해 "정보보호 공시와 함께 CEO의 책임 강화 등은 긍정적"이라면서 "다만 지금 정보보호 공시 대상 기업 중에도 보안인력이 5명 미만인 곳이 70%에 달하는 현실에서 기업들의 보안인력 확보에 대한 대책이 필요하다"고 말했다.

[정호준 기자]