즉시 실행 가능한 단기과제 망라
연내 국가 사이버안보 전략 공개
정보보호 공시 의무 대상 기업이 전체 상장사로 확대되고 기업 보안역량 수준을 등급화한다. 또 정부가 해킹 정황을 확보하면 기업 신고 없이도 신속히 현장을 조사할 수 있도록 권한을 강화한다. 기업의 정보보호 투자를 유도하는 한편 사이버 침해 사고를 신속히 파악해 피해 확산을 최소화하겠다는 취지다.
과학기술정보통신부와 관계부처가 22일 이 같은 내용을 담은 '범부처 정보보호 종합대책'을 발표했다. 이번 대책엔 즉시 실행이 가능한 단기 과제를 중심으로 담았으며, 오는 12월 사이버 보안 거버넌스 등 중장기 과제를 망라하는 '국가 사이버안보 전략'을 공개할 계획이다.
◇공공·민간 정보보호 역량 강화
먼저 정부는 내년 정보보호 예산·인력을 확대하기로 했다. 구체적으로 내년 정보보호 예산은 정보화 대비 7.7%로 4012억원으로 책정했다. 또 정보보호책임관 직급을 기존의 국장급에서 실장급으로 상향하고, 공공기관 경영평가 시 사이버보안 배점 상향(0.25→0.5점)을 추진한다.
공공 부문에서 공급망 보안의 핵심 중 하나인 소프트웨어자재명세서(SBOM)도 2027년까지 의무화하며, 보안 문제가 발견된 정보기술(IT) 제품은 공공 조달을 제한하는 방안도 추진한다.
민간 부문 정보보호 강화 대책도 내놨다.
우선 기업의 최고경영책임자(CEO)의 보안 책임 원칙을 법령상 명문화하는 동시에 최고보안책임자(CISO·CPO)의 권한을 대폭 강화한다. 자체 보안 역량이 부족한 중소·영세기업 대상으론 정보보호 지원센터 확대(10개소→16개소) 등을 통해 지원할 방침이다.
정부는 또 기업의 정보보호 투자도 유도할 계획이다. 이를 위해 내년 상반기까지 정보보호 공시 의무 기업을 상장사 전체로 확대하고, 공시 결과를 토대로 보안 역량 수준을 등급화해 공개할 방침이다. 현재 평가 기준을 마련하고 있으며 구체적인 운영 방안은 국가 사이버안보 전략을 통해 공개할 예정이다.
금융위원회는 보안이 대국민 금융 서비스에 직결되는 만큼 전자금융거래법 개정을 통해 비상장 금융사도 정보보호 공시를 의무화할 계획이다.
배경훈 부총리 겸 과기정통부 장관은 “국내 상장사뿐만 아니라 해외 플랫폼 사업자도 정보보호 공시제도를 정밀하게 적용할 수 있도록 하겠다”고 말했다.
◇정부, 해킹 정황 확보 시 신고 없이도 조사
정부의 해킹 조사 권한도 강화된다. 당국이 해킹 정황을 확보하면 조사에 착수할 수 있도록 제도를 개선하기로 했다. 그간 현행법상 당국은 해킹 정보를 입수해도 기업의 침해 신고가 없으면 조사에 나설 수 없어 초동조치가 어렵다는 지적이 제기돼왔다.
사이버 침해 사고와 관련한 제재도 강화된다. 해킹 지연 신고, 재발 방지 대책 미이행, 개인·신용 정보 반복 유출 등 보안 의무 위반에 대해 과태료·과징금을 상향하는 동시에 이행강제금과 징벌적 과징금 제도를 도입할 계획이다. 특히 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'(정보통신망법) 개정을 통해 사이버 침해 사고 시에도 과징금을 부과할 수 있도록 정책 연구를 진행 중이다.
배 부총리는 “개인정보 유출 사고 시 전체 매출의 3%를 과징금으로 부과하는 개인정보보호법, 정보보호 관련 이슈 시 관련 매출의 10%를 부과하는 해외 사례 등을 종합적으로 연구하고 있다”면서 “징벌적 과징금 규모 등 제재 강도를 정해나갈 예정”이라고 말했다.
아울러 소비자 중심의 피해구제 체계를 구축하기 위해 기업의 보안 해태로 인한 해킹 발생 시 소비자의 입증책임 부담을 완화하고 통신·금융 등 주요 분야는 이용자 보호 메뉴얼을 마련하기로 했다.
◇사이버 보안 생태계 육성
국내 사이버 보안 생태계 육성에도 팔을 걷어붙인다.
정부가 목표로 내건 '인공지능(AI) 3대 강국'의 필수 요건인 '보안'을 위해 AI 에이전트 보안 플랫폼 기업 등 연간 30개사를 집중 육성하는 한편 정보보호 서비스 범위를 확대해 보안 산업의 저변을 넓힌다.
또 기업 수요를 중심으로 연간 500명 이상의 화이트해커를 양성하는 체계로 재설계하고, 정보보호특성화대학·융합보안대학원을 권역별 성장엔진 산업에 특화된 보안 인재 양성 허브로 자리매김하도록 기능을 강화한다.
◇국민 생활에 밀접한 IT 시스템에 대한 대대적 점검
국민생활에 밀접한 IT 시스템에 대한 대대적인 보안 취약점 점검에도 나선다. 공공·금융·통신 등 국민 대다수가 이용하는 1600여개 IT 시스템이 대상이다. 특히 통신사의 경우 실제 해킹 방식의 강도 높은 불시 점검을 추진하고 주요 IT 자산에 대한 식별·관리체계를 구축하도록 한다. 소형기지국(펨토셀)은 안정성이 확보되지 않을 시 즉시 폐기하는 등 더 엄격히 조치할 방침이다.
실효성에 의문이 제기됐던 보안인증제(ISMS, ISMS-P)도 손본다. 인증 평가를 현장 심사 중심으로 전환하고 중대한 결함이 발견될 경우 인증을 취소하기로 했다.
이 외에도 모의해킹과 화이트해커를 활용한 상시 취약점 점검 체계도 구축한다.
배경훈 부총리는 “공익적 화이트해커 활동을 적극 활용하는 방안도 긍정적으로 검토하고 있다”고 말했다. 현재 정보통신망법에 따라 기업의 동의를 받지 않고 취약점을 찾기 위해 망에 진입하는 행위는 불법이다.
정부는 국가 사이버보안 전략을 시작으로 지속적으로 정보보호 정책을 개선, 국민이 안심하고 IT 서비스를 사용할 수 있도록 노력 지속하겠다고 밝혔다.
배 부총리는 “정부는 연이은 보안 사고로 국민 피해가 계속되는 상황을 위기에 준하는 비상 사태로 본다”며 “해킹 피해가 소비자에게 전가되지 않도록 구제책을 마련하고 AI 강국을 뒷받침하는 정보보호 체계 구축에 총력을 기울이겠다”고 말했다.
조재학 기자 2jh@etnews.com
![[범부처 정보보호 대책] “보안 이슈 여러 부처 연관…컨트롤타워 강화를”](https://img.etnews.com/news/article/2025/10/22/news-p.v1.20251022.8dcaf1446d3c432599977b92a3fc2da9_P1.jpg)
![[사설] 정보보안, 실효성 확 높이자](https://img.etnews.com/news/article/2025/10/22/news-a.v1.20251022.59cc9e6a6cca4708ad073d6884018d3b_T1.jpg)
![삼정KPMG, ‘데이터센터 자문센터’ 공식 출범 [시그널]](https://newsimg.sedaily.com/2025/10/21/2GZ9I53SNZ_1.jpg)
