대규모 정보유출 사고 방지를 위한 ‘범부처 정보보호 종합대책’ 발표


법무법인 대륙아주 김정은 변호사¹
법무법인 대륙아주 나희수 변호사



1. 들어가며

  최근 국민 경제·사회 활동 전반에 심각한 파급효과를 미치는 대규모 해킹사고가 거듭 발생하여, 정보보안에 대한 사회적 경각심이 한층 고조되고 있습니다.

  이에 국가안보실, 과학기술정보통신부, 금융위원회, 개인정보보호위원회, 국가정보원, 행정안전부 등 관계부처는 합동으로 범정부 차원의 유기적인 대응체계를 가동하기 위하여 ‘범부처 정보보호 종합대책’을 발표하였습니다.



2. 범부처 정보보호 종합대책의 내용

  본 종합대책은 현 사안의 시급성을 고려하여 단기간 내에 실행할 수 있는 단기과제를 제시하고 있으며, 주요 추진방안으로는 (1) 국민 생활에 밀접한 핵심 IT 시스템의 대대적인 보안 점검, (2) 소비자 중심의 사고 대응 체계 구축과 재발 방지 대책의 실효성 강화, (3) 민·관 전반의 정보보호 역량 강화, (4) 글로벌 기준에 부합하는 정보보호 환경 조성과 정보보호 산업·인력·기술 육성, (5) 범국가적 사이버안보 협력 체계 강화를 제시하고 있습니다.

가. 국민 생활에 밀접한 핵심 IT 시스템의 대대적인 보안 점검

• 공공·금융·통신 분야 등 국민 대부분이 이용하고 있는 1,600여개 IT 시스템들에 대해 대대적인 보안 취약점 점검을 즉시 추진
  - 공공기관 기반시설 288개, 중앙·지방 행정기관 152개, 금융업 261개, 통신·플랫폼 등 ISMS 인증기업 949개 등 대상
• 통신사의 경우 실제 해킹 방식을 차용한 불시 점검을 추진하고, 주요 IT 자산에 대한 식별·관리체계를 구축
• ISMS, ISMS-P를 현장심사 중심으로 전환, 중대한 결함이 발생하는 경우 인증을 취소하는 등 실효성 제고
• 모의해킹 훈련과 화이트해커를 활용한 상시취약점 점검 체계 구축

나. 소비자 중심의 사고 대응 체계 구축과 재발 방지 대책의 실효성 강화

• 소비자의 입증 책임 부담 완화, 통신·금융 등 분야는 이용자 보호 매뉴얼을 마련하는 등 소비자 중심의 피해구제 체계 구축
• 기금을 신설하여 개인정보 유출사고로 인한 과징금 수입을 피해자 지원 등 개인정보보호에 활용하는 방안 검토
• 해킹 정황 확보 시 기업의 신고 없이도 정부가 현장을 조사할 수 있도록 해킹 사고에 대한 정부의 조사 권한 확대 
• 해킹 지연 신고, 재발 방지 대책 미이행, 개인·신용 정보 반복 유출 등 보안 의무 위반에 대해서는 과태료·과징금 상향, 이행강제금 및 징벌적 과징금 도입 등 제재를 강화 
• AI 기반 지능형 포렌식실을 구축하여 분석 시간을 대폭 단축하는 등 침해사고 탐지·대응 역량을 고도화하고 영역별 사고조사 전문인력을 확보·충원

다. 민·관 전반의 정보보호 역량 강화

• 공공의 정보보호 역량 강화
  - 공공의 정보보호 예산, 인력을 정보화 대비 일정 수준 이상으로 확보
  - 위기 상황 대응 역량 강화 훈련 고도화, 공공기관 경영평가 시 사이버보안 배점 상향 추진
• 민간의 정보보호 역량 강화
  - 정보보호 공시 의무 기업을 상장사 전체로 확대, 이를 바탕으로 보안 역량 수준을 등급화하여 공개
  - CEO의 보안 책임 원칙을 법령상 명문화
  - 보안최고책임자(CISO·CPO)의 권한을 대폭 강화
  - 중소·영세기업 대상 정보보호 지원센터 확대

라. 글로벌 기준에 부합하는 정보보호 환경 조성과 정보보호 산업·인력·기술 육성

• 국제 변화에 부합하는 제도 마련 및 환경 조성
  - 금융·공공기관 등이 소비자에게 설치를 강요하는 보안 SW를 단계적으로 제한하고, 대신 다중 인증(비밀번호, OTP, 생체인식 등 조합), AI기반 이상 탐지 시스템 등을 활용하여 보안 강화
  - 획일적인 물리적 망분리를 데이터 보안 중심으로 전환하고, 클라우드 보안 요건 개선 등 민간 사업자의 공공 진출 요건 완화
  - 공공분야에 사용되는 IT 시스템·제품에 대해 SW 구성요소(SBOM)의 제출을 제도화
• 보안 산업을 국가 전략 산업화하고 사이버안보 인력·기술 육성
  - AI 에이전트 보안 플랫폼 등 차세대 보안 기업을 집중 육성
  - 화이트해커 양성 체계 재설계
  - 정보보호특성화대학, 융합보안대학원을 보안 인재 양성 허브로 기능 강화
  - 양자내성암호 기술 개발 등 국가적 암호체계 전환 착수

마. 범국가적 사이버안보 협력 체계 강화

• 정보통신기반시설보호위원회를 통해 주요정보통신기반시설 지정 확대 
• 기반시설의 사고 원인 조사 단계에서는 침해사고대책본부 활성화
• 부처별로 상이한 해킹 사고조사 과정을 체계화
• 국가사이버위기관리단과 정부 부처 간의 사이버 위협 예방·대응 협력 강화

3. 시사점

  이번 종합대책은 정부가 국민 생활에 밀접한 분야에서부터 정보보호 수준을 근본적으로 끌어올리겠다는 정책적 방향을 명확히 제시한 것으로 볼 수 있습니다. 특히, 정보보호 공시 의무를 상장사 전체로 확대하고, CEO의 보안 책임을 법령에 명문화하며, 보안최고책임자(CISO·CPO)의 권한을 대폭 강화하는 등 기업과 경영진이 부담해야 할 책임이 한층 강화되었다는 점이 주목됩니다. 더불어 과태료·과징금 상향, 이행강제금 및 징벌적 과징금 도입 등 제재 수단 확대가 검토됨에 따라, 기업은 기존보다 강화된 수준의 보안 리스크 관리 체계를 갖출 필요가 있습니다.

  한편 이번 종합대책이 현 사안의 시급성을 고려해 단기 실행 과제를 중심으로 구성된 만큼, 연내 마련될 중장기 로드맵인 「국가 사이버안보 전략」의 내용 또한 지속적으로 확인할 필요가 있습니다. 


 

1. 현재 법무법인(유한) 대륙아주의 파트너변호사로서, 주요 업무분야는 지적재산, 정보보안, TMT (Technology, Media & Telecom), 엔터테인먼트, 바이오/헬스케어 등입니다. 지적재산권, 영업비밀, 부정경쟁행위, 개인정보보호 관련 민·형사 소송 및 자문 등의 업무를 주로 담당하고 있으며, 개인정보보호위원회 개인정보보호 기본계획(2024-2026) 수립 연구반으로 활동하였습니다.