배경훈 "보안 없는 AI강국은 사상누각"…정부, 1600개 IT시스템 즉시 전수조사

▲배경훈 부총리 겸 과학기술정보통신부 장관이 22일 오후 서울 종로구 정부서울청사에서 열린 '범부처 정보보호 종합대책' 합동브리핑에 참석하고 있다. (뉴시스)

정부가 분야를 막론하고 반복되는 해킹 사고를 심각한 위기 상황으로 인식하고 범정부 차원의 유기적 대응체계를 가동한다. 1600여 개 IT 시스템들에 대한 보안 취약점을 점검하며 침해 사고가 발생한 기업의 신고 없이도 정부가 신속히 현장을 조사할 수 있게 한 것이 핵심이다.

22일 과학기술정보통신부와 금융위원회, 개인정보보호위원회, 국가정보원, 행정안전부 등 관계부처는 국가안보실을 중심으로 즉시 실행할 수 있는 단기 과제 위주의 ‘범부처 정보보호 종합대책’을 발표했다. 배경훈 부총리 겸 과기정통부 장관은 서울 종로구 정부서울청사에서 열린 대국민 브리핑에서 “정부는 최근 발생한 일련의 해킹 사고를 국가비상사태에 준하는 위기 상황으로 받아들이고 있다”며 “보안 없이는 디지털 전환·AI 강국도 사상누각에 불과하다”고 말했다.

배 부총리는 “기존에는 해킹이나 침해 사고 발생 시 신고를 하지 않으면 조사할 수 없었다”며 “정부가 직권조사를 하겠다는 것과 기업들이 의무적으로 정보보호 공시하는 것이 이번 대책의 가장 큰 차이점”이라고 설명했다.

주요 추진 방향으로는 △국민 생활에 밀접한 핵심 IT 시스템의 대대적인 보안 점검 △소비자 중심 사고 대응 체계 구축·재발 방지 대책의 실효성 강화 △민·관 전반의 정보보호 역량 강화 △글로벌 기준에 부합하는 정보보호 환경 조성 및 정보보호 산업·인력·기술 육성 △범국가적 사이버안보 협력 체계 강화 등이 제시됐다.

우선 국민들의 해킹 불안감을 해소하기 위해 정부는 공공·금융·통신 등 국민 대다수가 이용하는 1600여 개 IT 시스템들에 대한 대대적인 보안 취약점 점검을 즉시 추진한다. 공공기관 기반시설 288개, 중앙·지방 행정기관 152개, 금융업 261개, 통신·플랫폼 등 ISMS 인증기업 949개 등이 대상이다.

특히 최근 대규모 개인정보 유출 사고가 발생했던 통신사의 경우 실제 해킹 방식의 강도 높은 불시 점검을 추진하고 주요 IT 자산에 대한 식별·관리 체계를 구축한다. 류제명 과기정통부 제2차관은 “모의해킹이 아닌 운영 중에 실전 침투 테스트를 하는 것으로 통신3사 동의를 받았다”며 “나머지 주요 기업에 대해서는 보안최고책임자에게 자체 점검을 요청했으며 최고경영자(CEO)의 확인을 거쳐 사후 점검을 실시할 예정”이라고 말했다.

안정성이 확보되지 않은 소형기지국(펨토셀)은 즉시 폐기하는 등 엄격한 조치를 취할 예정이다. 보안 인증 제도(ISMS, ISMS-P)는 현장 심사 중심으로 전환하며 중대한 결함이 발견되면 인증을 취소하는 등 사후관리를 강화한다.

또한 해킹 정황이 확인되면 기업의 신고 없이도 정부가 신속히 현장을 조사할 수 있도록 정부의 조사 권한을 확대한다. 국가정보원의 조사·분석 도구를 민간과 공동 활용하고 AI 기반 지능형 포렌식실을 구축하여 분석 시간을 기존 건당 14일에서 5일로 대폭 단축한다.

해킹 지연 신고, 재발 방지 대책 미이행, 개인·신용 정보 반복 유출 등 보안 의무 위반에 대해서는 과태료·과징금 상향, 이행강제금 및 징벌적 과징금 도입 등 제재를 강화한다. 개인정보 유출 사고로 인한 과징금 수입을 피해자 지원 등 개인정보 보호에 활용할 수 있도록 기금 신설도 검토한다.

배 부총리는 “영국의 경우 보안 이슈가 있을 때 관련 매출의 10% 정도를 부과하는 사례가 있다”며 “정책연구를 통해서 징벌적 과징금의 범위와 규모 등을 정할 계획”이라고 밝혔다.

공공의 정보보호 예산과 인력을 정보화 대비 일정 수준 이상으로 확보하고 정부 정보보호책임관 직급을 기존 국장급에서 실장급으로 올린다. 민간에 대해선 보안을 비용이 아닌 필수 투자로 인식하도록 정보보호 공시 의무 기업을 상장사 전체로 확대하면서 공시 결과를 토대로 보안 역량 수준을 등급화하여 공개한다. CEO의 보안 책임 원칙을 법령상 명문화하고 보안최고책임자(CISO·CPO)의 권한을 대폭 강화한다.

이외에도 보안 갈라파고스 환경에서 탈피하기 위해 다중 인증, AI 기반 이상 탐지 시스템 등을 활용해 보안을 강화한다. 클라우드, AI 확산 등 글로벌 변화에 부합하지 않은 획일적인 물리적 망분리를 데이터 보안 중심으로 본격 전환한다. AI 3대 강국을 뒷받침할 차세대 보안 기업을 집중 육성하고 연 500여명의 화이트해커 양성 체계를 기업 수요로 재설계한다. 다가오는 양자 시대를 대비하기 위해 양자내성암호 기술 개발 등 국가적 암호체계 전환에도 착수한다.

정부는 사안의 시급성을 고려해 이번 대책에는 즉시 실행할 수 있는 단기과제 위주로 담았으며 연내 중장기 과제를 망라하는 ‘국가 사이버안보 전략’을 수립할 계획이라고 밝혔다. 배 부총리는 “과기정통부 등 관계부처는 이번 종합대책이 현장에서 제대로 작동될 때까지 실행 과정을 면밀히 살피고 지속적으로 보완해 나가겠다”며 “정부는 AI 강국을 뒷받침하는 견고한 정보보호 체계 구축을 취해 총력을 기울일 것”이라고 강조했다.