2 weeks ago
7
ⓒ게티이미지뱅크정보보호 공시 의무 대상 기업이 전체 상장사로 확대되고 기업 보안역량 수준을 등급화한다. 또 정부가 해킹 정황을 확보하면 기업 신고 없이도 신속히 현장을 조사할 수 있도록 권한을 강화한다. 기업의 정보보호 투자를 유도하는 한편 사이버 침해 사고를 신속히 파악해 피해 확산을 최소화하겠다는 것이다.
과학기술정보통신부와 관계부처가 22일 이 같은 내용을 담은 '범부처 정보보호 종합대책'을 발표했다. 이번 대책엔 즉시 실행이 가능한 단기 과제를 중심으로 담았으며, 연내 중장기 과제를 망라하는 '국가 사이버안보 전략'을 수립할 계획이다.
![범부처 정보보호 종합대책 목표 및 추진 방향. [자료=과학기술정보통신부]](https://img.etnews.com/news/article/2025/10/22/news-p.v1.20251022.88cd44539f724a23934fe48423d265ec_P1.png)
범부처 정보보호 종합대책 목표 및 추진 방향. [자료=과학기술정보통신부]◇공공·민간 정보보호 역량 강화
먼저 정부는 내년 정보보호 예산·인력을 확대하기로 했다. 이를 위해 정보보호 예산·인력을 정보화 대비 일정 수준 이상으로 확보할 계획이다. 현재는 정보화 예산 대비 15% 이상의 정보보호 투자를 권고하는 선언적 규정에 머물러 있다.
또 정보보호책임관 직급을 기존의 국장급에서 실장급으로 상향하며 공공기관 경영평가 시 사이버보안 배점 상향(0.25→0.5점)을 추진한다.
공급망 보안의 핵심 중 하나인 소프트웨어자재명세서(SBOM)도 2027년까지 의무화한다. 제도가 시행되면 공공분야에 사용되는 정보기술 시스템·제품은 SBOM을 제출해야 한다. 또 보안 문제가 발견된 정보기술(IT) 제품은 공공 조달을 제한하는 방안도 추진한다.
정부는 민간의 보안 역량 강화를 위해 정보보호 투자 유도 카드를 꺼내들었다.
구체적으로 정보보호 공시 의무 기업을 상장사 전체로 확대하고, 공시 결과를 토대로 보안 역량 수준을 등급화해 공개할 방침이다.
또 최고경영책임자(CEO)의 보안 책임 원칙을 법령상 명문화하는 동시에 최고보안책임자(CISO·CPO)의 권한을 대폭 강화한다. 자체 보안 역량이 부족한 중소·영세기업 대상으론 정보보호 지원센터 확대(10개소→16개소) 등을 통해 지원할 방침이다.
◇정부, 해킹 정황 확보 시 신고 없이도 조사
정부의 해킹 조사 권한도 강화된다. 당국이 해킹 정황을 확보하면 조사에 착수할 수 있도록 제도를 개선하기로 했다. 그간 현행법상 당국은 해킹 정보를 입수해도 기업의 침해 신고가 없으면 조사에 나설 수 없어 초동조치가 어렵다는 지적이 제기돼왔다.
사이버 침해 사고와 관련한 제재도 강화된다. 해킹 지연 신고, 재발 방지 대책 미이행, 개인·신용 정보 반복 유출 등 보안 의무 위반에 대해 과태료·과징금을 상향하는 동시에 이행강제금과 징벌적 과징금 제도를 도입할 계획이다.
아울러 소비자 중심의 피해구제 체계를 구축하기 위해 기업의 보안 해태로 인한 해킹 발생 시 소비자의 입증책임 부담을 완화하고 통신·금융 등 주요 분야는 이용자 보호 메뉴얼을 마련하기로 했다.
◇사이버 보안 생태계 육성
국내 사이버 보안 생태계 육성에도 팔을 걷어붙인다.
정부가 목표로 내건 '인공지능(AI) 3대 강국'의 필수 요건인 '보안'을 위해 AI 에이전트 보안 플랫폼 기업 등 연간 30개사를 집중 육성하는 한편 정보보호 서비스 범위를 확대해 보안 산업의 저변을 넓힌다.
또 기업 수요를 중심으로 연간 500명 이상의 화이트해커를 양성하는 체계로 재설계하고, 정보보호특성화대학·융합보안대학원을 권역별 성장엔진 산업에 특화된 보안 인재 양성 허브로 자리매김하도록 기능을 강화한다.
이 밖에도 양자내성암호 기술 개발 등 국가적 암호체계로 전환하고, 공공부문에서 자율주행차, 지능형 로봇, 드론 등 신기술 모빌리티의 안전한 활용을 위한 보안 체크리스트·가이드라인을 수립한다.
◇국민 생활에 밀접한 IT 시스템에 대한 대대적 점검
국민생활에 밀접한 IT 시스템에 대한 대대적인 보안 취약점 점검에도 나선다. 공공·금융·통신 등 국민 대다수가 이용하는 1600여개 IT 시스템이 대상이다. 특히 통신사의 경우 실제 해킹 방식의 강도 높은 불시 점검을 추진하고 주요 IT 자산에 대한 식별·관리체계를 구축하도록 한다. 소형기지국(펨토셀)은 안정성이 확보되지 않을 시 즉시 폐기하는 등 더 엄격히 조치할 방침이다.
실효성에 의문이 제기됐던 보안인증제(ISMS, ISMS-P)도 손본다. 인증 평가를 현장 심사 중심으로 전환하고 중대한 결함이 발견될 경우 인증을 취소하기로 했다.
이 외에도 모의해킹과 화이트해커를 활용한 상시 취약점 점검 체계도 구축한다.
◇범국가적 사이버안보 협력 체계 강화
원스톱(One-Stop) 신고체계도 도입한다. 부처별로 파편화된 해킹사고 조사과정을 체계화하기 위해서다. 이를 통해 조사단별 투입시기를 최적화하고 상호 정보공유를 강해해 현장 혼선을 최소화할 계획이다. 또 민·관·군 합동 조직인 국가정보원 산하 국가사이버위기관리단과 정부 부처 간 사이버 위협 예방·대응 협력을 강화한다.
아울러 국가 핵심 인프라인 주요정보통신기반시설 지정을 확대하고, 기반시설의 사고 원인 조사 단계에선 침해사고대책본부(국가사이버위기관리단)를 활성화한다.
배경훈 부총리 겸 과기정통부 장관은 “이번 종합대책이 현장에서 제대로 작동될 때까지 실행 과정을 면밀히 살펴보며 부족한 부분을 지속 보완해 나가겠다”며 “정부는 AI 강국을 뒷받침하는 견고한 정보보호 체계 구축을 취해 총력을 기울이겠다”고 말했다.
![범부처 정보보호 종합대책 개요. [자료=과학기술정보통신부]](https://img.etnews.com/news/article/2025/10/22/news-t.v1.20251022.9c18d6b615c24e15a633b37a23d85b25_P1.png)
범부처 정보보호 종합대책 개요. [자료=과학기술정보통신부]조재학 기자 2jh@etnews.com
English (US) · 