해킹 사고 반복 시 징벌적 가중 처벌...신고 안 해도 직권 조사 [일문일답]

안세준 기자 입력 2025.10.22 17:55 | 수정 2025.10.22 17:59

이통3사 대상 불시 점검 '실전 침투테스트' 추진⋯사업자 동의 받아
정보보호 공시 의무, 상장사 전체로 확대⋯기업 신고 없이도 직권 조사
재발 방지 미이행·반복 보안 의무 위반 기업에 과징금 상향⋯"전체 매출 3%"

[아이뉴스24 안세준 기자] 정부가 사이버 보안을 강화하기 위해 이동통신 3사를 대상으로 불시 점검인 실전 침투 테스트를 추진하고, 정보보호 공시 의무 기업을 상장사 전체로 확대한다. 해킹 정황을 인지할 경우 기업의 자진 신고 없이도 직권 조사를 할 수 있도록 정부 권한도 강화한다. 또한 해킹 사고 과징금을 매출의 3%로 상향한 데 이어 사고가 반복될 경우 징벌적 가중 처벌도 추진한다..

2일 오후 정부서울청사에서 열린 범부처 정보보호 종합대책 발표 브리핑에서 배경훈 부총리 겸 과학기술정보통신부 장관(가운데)이 발표하고 있다. [사진=안세준 기자]

22일 정부서울청사에서 과학기술정보통신부와 관계 부처는 합동 브리핑을 열고 범부처 정보보호 종합대책을 발표했다. 전방위적인 해킹 사고로 국민 불안이 가속화되는 상황을 신속히 극복하고, 국가 전반 정보보호 역량을 강화하겠다는 취지다.

정부는 국가안보실을 중심으로 과기정통부, 금융위원회. 개인정보보호위원회, 국가정보원, 행정안전부 등 관계부처 합동으로 범부처 정보보호 종합대책을 수립했다. 정부는 사안 시급성을 고려해 즉시 실행할 수 있는 단기과제 위주로 제시했다. 중장기 과제를 망라하는 국가 사이버안보 전략은 연내 수립할 계획이다.

범부처 정보보호 종합대책 주요 정책은 크게 네 가지다. 국민 생활에 밀접한 1600여개 IT시스템 보안 점검 추진을 비롯한 △소비자 중심 사고 대응 체계 구축 및 재발 방지 대책 실효성 강화 △민·관 정보보호 역량을 강화 및 글로벌 기준에 부합하는 정보보호 환경 조성과 정보보호 산업·인력·기술 육성 △범국가적 사이버안보 협력 체계 강화 등이다.

다음은 이날 브리핑에서 배경훈 부총리 겸 과기정통부 장관, 류제명 과기정통부 제2차관, 이용석 행안부 디지털정부혁신실장, 신진창 금융위원회 사무처장, 김창섭 국정원 3차장, 이정렬 개인정보보호위원회 사무처장과의 일문일답이다.

-1600여개 IT시스템에 대한 보안 점검 관련, 정부의 인력·자원은 충분한가. 예상되는 소요 기간과 방식은?

(배경훈 부총리) 1600여개를 모두 검수하기 위해 인력과 역량을 총 결집하고 있다. 충분한 역량을 구축해 진행하도록 하겠다. 실제 1600여개 말고도 보안 점검을 해야 하는 곳들이 많이 있다. 이런 곳들은 저희가 직접 검수를 하기보다는 모의훈련이나 화이트해커 등을 통해서 점검할 수 있는 전반적인 대책을 수립할 예정이다.

-정보보호 공시 의무 대상을 상장사 전체로 확대한다고 밝혔다. 구체적인 시기는.

(배 부총리) 정보보호 공시 의무 확대는 내년 상반기부터 시행할 계획이다.

-과태료나 과징금 상향, 징벌적 과징금 도입 등 제재를 강화한다는 내용이 포함돼 있다. 상향 규모는 대략 어느 정도가 될지? (배 부총리) 개인정보나 금융 관련된 이슈에 있어서는 전체 매출의 3% 정도 과징금을 부과할 수 있다. 정보통신망법 차원에서도 어떤 과징금을 저희가 부과할지 정책 연구를 진행하고 있다. (이정렬 개보위 사무처장) 관련 매출액을 전체 매출액 3%로 상향한 바 있다. 징벌적 과징금 관련, 가중 처리하는 부분도 포함해 검토하려고 한다. 연내 발표할 수 있도록 노력하겠다. -과거 대책과 무엇이 달라졌나.

(류제명 2차관) 과거에는 사고가 난 서버를 위주로 침투 경로를 파악하는 등의 접근 방법을 갖고 (조사를) 진행했다. 이통 3사에 대한 불시 점검과 이외 모든 인터넷 연결 지점이 침투 가능성 있다는 전제하에 전면적인 점검을 진행한다는 것이 가장 큰 차이다.

(배 부총리) 정부가 직권조사를 하겠다, 이것이 가장 큰 차이점이라고 할 수 있다. 정보보호 사항에 대해서 의무 공시한다는 것 또한 큰 차이점이다.

-잇단 사고 발생에 대한 정부 책임은 없나. 기업에만 사고에 대한 제재를 가하는 것이 근본적 대책이 될 수 있다고 보는지.

(배 부총리) 정부 책임이 크다고 생각한다. 이를 부인할 수 없다. 저희도 해킹 이슈에 대해 자유롭지 않다는 것도 인정한다. 이 문제를 해결하기 위해 민관이 함께 고민을 해야 되는 상황이다. 정부 차원에서 무조건적인 제재를 통해 기업을 압박한다기보다 실제 이 문제를 공동으로 해결하길 원한다.

저희도 책임을 다하기 위해 내년도 예산 4012억원 정도를 정보보호 투자에 쓸 예정이다. 정부도 책임을 다하겠다고 말씀 드린다.

2일 오후 정부서울청사에서 열린 범부처 정보보호 종합대책 발표 브리핑에서 배경훈 부총리 겸 과학기술정보통신부 장관(왼쪽 네 번째)을 비롯한 주요 관계자들이 취재진 질의에 답변하고 있다. 사진은 왼쪽부터 이용석 행안부 디지털정부혁신실장, 신진창 금융위원회 사무처장, 김창섭 국정원 3차장, 배 부총리, 류제명 과기정통부 2차관, 이정렬 개인정보보호위원회 부위원장 직무대리. 범부처 정보보호 종합대책」을 수립하여 10월 22일(수) 대국민 브리핑을 [사진=안세준 기자]

-이통 3사 대상 불시 점검은 어떤 방식으로 진행되나.

(류 2차관) 모의 해킹 방식이 아니라 운영 중에 실전 침투 테스트를 진행하려고 한다. 이통 3사로부터는 동의를 다 받았다. 민관 전문가들을 통해 이통 3사 망에 대해 불시 점검 형식으로 취약점 분석을 진행하려고 한다.

주요 기업에 대해서는 기본적으로 각 기업의 CISO, 정보보호최고책임자들에게 자체 점검을 요청했다. 자체 점검 결과를 각 CEO들에게 확인을 받아 정부에 제출하도록 안내했다. 이 결과로 급한 기업들, 중요 기업들로부터 사후 점검을 실시하는 방식으로 진행될 예정이다.

-기 유통된, 안전성이 확보되지 않은 펨토셀의 회수·차단은 어떻게 하나.

(류 2차관) 회수하는 문제가 쉽지 않다. 이미 유통되고 장기간 활용되지 않는 것들은 회수가 어려운 특수성이 있다. 다만 이미 유통돼서 회수되지 않는 장비가 있다 하더라도 더 이상 이통 3사 망에는 붙을 수 없는 체계는 마련돼 있는 상태다.

-사이버보안 컨트롤타워 법제화 여부는.

(배 부총리) 컨트롤타워 법제화는 아직 검토 중이다. 국가안보실이 컨트롤타워고 집행은 국가사이버위기관리단에서 한다. 민간에서는 과기정통부가 역할을 한다.

(신진창 금융위 사무처장) 전반적으로 높이려는 계획을 갖고 있다. 전자금융거래법 개정안은 조만간 발의해 정기국회에서 논의될 수 있도록 준비하고 있다.

-롯데카드 등 금융권도 피해가 발생했다. 이통사만 실전 침투테스트 진행하는 이유는. 금융권 모의해킹이나 기업 자체점검 검증 여부는.

(류 차관) 통신사는 대한민국에서 가장 큰 시스템을 운영하고 있다. 또한 전 국민이 의존하는 시스템이기도 하다. 이 부분은 통신사업자들로부터 동의를 받은 상태다.

(신 사무처장) 금융위는 전자금융거래법에 따라 현재 매년 1회 취약점 분석 평가를 받도록 돼 있다. 취약점 분석 평가의 수행 주체는 금융보안원이 중심이 된다. 금융보안원이 평가를 할 때에는 모의해킹 또한 진행된다.

-국내 기업 외 글로벌 기업들의 정보보호 공시는 어떻게 생각하나.

(배 부총리) 정보보호 공시는 해외 플랫폼 사업자 또한 당연히 해야 한다. 국내 상장사뿐 아니라 해외 플랫폼 사업자들에도 동일하게 적용할 수 있도록 하겠다.

/안세준 기자(nocount-jun@inews24.com)

---

---

---

---

---

---

---

---

---

포토뉴스

---

---