1600개 IT 시스템 취약점 점검…정보보호 공시 대상 확대
||2025.10.22
![과학기술정보통신부와 관계부처는 전방위적인 해킹 사고 상황을 극복하고 국가 정보보호 역량을 강화하기 위해 22일 '범부처 정보보호 종합대책'을 발표했다. [사진: 셔터스톡]](https://www.digitaltoday.co.kr/news/photo/202510/598743_556006_2633.jpg)
[디지털투데이 이진호 기자] 정부가 1600여개 IT시스템 보안 취약점 점검을 추진한다. 개인정보 유출 사고에 따른 과징금 수입을 피해자 지원 등에 사용하는 기금 신설을 검토한다. 정보보호 공시 의무 기업은 상장사 전체로 확대한다.
과학기술정보통신부와 관계부처는 전방위적인 해킹 사고 상황을 극복하고 국가 정보보호 역량을 강화하기 위해 22일 '범부처 정보보호 종합대책'을 발표했다.
정부는 국가안보실을 중심으로 과기정통부, 금융위원회. 개인정보보호위원회, 국가정보원, 행정안전부 등 관계부처 합동으로 민간과 공공을 아우르는 종합대책을 수립했다.
종합대책은 ▲국민 생활에 밀접한 핵심 IT 시스템 보안 점검 ▲소비자 중심 사고 대응 체계 구축과 재발 방지책 실효성 강화▲민·관 정보보호 역량 강화 ▲범국가적 사이버안보 협력 체계를 강화 등이 골자다. 즉시 실행할 수 있는 단기과제 위주로 제시했으며 중장기 과제를 망라하는 '국가 사이버안보 전략'은 연내 수립할 계획이다.
◆핵심 IT 시스템 점검·소비자 중심 대응체계 구축
정부는 공공·금융·통신 등 국민 대다수가 이용하는 1600여개 IT 시스템들에 대한 보안 취약점 점검을 즉시 추진한다. 특히 통신사는 실제 해킹 방식의 강도 높은 불시 점검을 추진하고 주요 IT 자산에 대한 식별·관리체계를 구축하도록 한다. 소형기지국(펨토셀)은 안정성이 확보되지 않을 경우 즉시 폐기하는 등 더 엄격히 조치한다.
보안 인증 제도(ISMS, ISMS-P)는 현장 심사 중심으로 전환한다. 중대한 결함이 발생하면 인증을 취소한다. 모의해킹 훈련과 화이트해커를 활용한 상시 취약점 점검 체계도 구축한다.
기업 해킹 발생 시 소비자 입증책임 부담을 완화하고 통신·금융 등 주요 분야는 이용자 보호 매뉴얼을 마련한다. 개인정보 유출 사고로 인한 과징금 수입을 피해자 지원 등 개인정보 보호에 활용할 수 있도록 기금 신설을 검토한다.
해킹 정황을 확보한 경우 기업 신고 없이도 정부가 신속히 현장 조사할 수 있도록 권한을 확대한다. 해킹 지연 신고, 재발 방지 대책 미이행, 개인·신용 정보 반복 유출 등 보안 의무 위반에 대해서는 과태료·과징금 상향, 이행강제금 및 징벌적 과징금 도입 등 제재를 강화한다.
아울러 국가정보원 조사·분석 도구를 민간과 공동 활용하는 한편 AI 기반 지능형 포렌식실을 구축해 분석 시간을 건당 14일 수준에서 5일로 대폭 단축할 방침이다.
◆정보보호 투자확대…사이버안보 인력·기술 육성
정보보호 공시 의무 기업을 상장사 전체로 늘린다. 현재 666개사에서 2700여개사로 늘린다. 동시에 공시 결과를 토대로 보안 역량 등급을 공개하는 제도를 도입한다.
내년 1분기 중 공공 정보보호 예산, 인력을 정보화 대비 일정 수준 이상으로 확보하고 정부 정보보호책임관 직급을 기존 국장급에서 실장급으로 상향한다. 위기 상황 대응 역량 강화 훈련 고도화를 비롯해 공공기관 경영평가 시 사이버보안 배점 상향(0.25→0.5점)을 추진한다.
CEO의 보안 책임 원칙을 법령상 명문화하고 보안최고책임자(CISO·CPO) 권한을 대폭 강화하한다. 자체적인 보안 역량이 부족한 중소·영세기업 대상으로는 정보보호 지원센터 확대를 10곳에서 16곳으로 늘려 지원을 강화한다.
글로벌 변화에도 대응한다. 내년부터 금융·공공기관 등이 소비자에게 설치를 강요하는 보안 SW를 단계적으로 제한한다. 대신 다중 인증, AI기반 이상 탐지 시스템 등을 활용해 보안을 강화할 방침이다. 획일적인 물리적 망분리는 데이터 보안 중심으로 본격 전환하고 클라우드 보안 요건 개선 등을 추진한다.
공공분야에 사용되는 IT 시스템·제품에 대한 SW 구성요소(SBOM) 제출을 2027년까지 제도화한다. 보안 문제가 발견된 IT 제품은 공공 조달 도입 제한을 추진한다. 산업용·생활용 IT 제품군 에 대한 보안 평가 공개도 추진한다.
◆보안 산업 국가전략 산업화…인력·기술 육성
AI 3대 강국을 뒷받침할 보안산업 육성을 위해 AI 에이전트 보안 플랫폼 등 차세대 보안 기업을 집중 육성하고 정보보호 서비스 범위를 확대한다. 화이트해커(年 500여명) 양성 체계를 기업 수요로 재설계하고, 정보보호특성화대학(학부, 7개교), 융합보안대학원(석박사, 9개교)을 권역별 성장엔진 산업에 특화된 보안 인재 양성 허브로 강화한다.
이와 함께 양자내성암호 기술 개발 등 국가적 암호체계 전환에 착수한다. 공공부문에서 자율주행차, 지능형 로봇, 드론 등 신기술 모빌리티의 안전한 활용을 위한 보안 체크리스트와 가이드라인을 내년중 수립할 예정이다.
범부처 위원회인 정보통신기반시설보호위원회를 통해서는 주요 정보통신기반시설 지정을 확대한다. 기반시설 사고 원인 조사 단계에서는 침해사고 대책본부를 활성화한다. 부처별로 파편화된 해킹 조사 과정을 체계화하고 민관군 합동 조직인 국가정보원 산하 국가사이버위기관리단과 정부 부처 간 사이버 위협 예방·대응 협력을 강화한다.
배경훈 부총리는 "과기정통부 등 관계부처는 이번 종합대책이 현장에서 제대로 작동될 때까지 실행 과정을 면밀히 살펴볼 것"이라며 "앞으로도 정부는 AI 강국을 뒷받침하는 견고한 정보보호 체계 구축을 취해 총력을 기울이겠다"고 강조했다.
