최근 공공기관과 민간기업을 가리지 않고 해킹 시도가 급증하면서, 개인정보 유출 · 업무 중단 등 크고 작은 보안 사고가 연이어 발생하고 있어요. 일부 지방자치단체의 내부망이 마비되거나, 금융과 통신사까지 타깃이 넓어지면서 더 이상 기존 방식으로는 대응하기 어렵다는 우려가 커지고 있습니다.
이에 따라 정부는 높아진 사회적 불안을 해소하기 위해, 과학기술정보통신부 · 행정안전부 · 금융위원회 · 개인정보보호위원회 · 국가정보원 등이 참여한 ‘범부처 정보보호 종합대책’을 공개하며 사이버보안 정책 전반의 재정비 방향을 제시했습니다. 이번 종합대책은 단기 처방이 아닌, 디지털 환경에서 빠르게 고도화되는 위협에 체계적으로 대응하기 위한 정부 차원의 최초 통합 보안 대책이라는 점에서 의미가 큰데요. 정부는 이번 대책을 기반으로 연내 국가 사이버안보 전략으로까지 발전시켜 강력하고 지속적인 보안 체계를 구축하겠다는 계획도 밝혔어요.
먼저 공공 · 금융 · 통신 등 국민 생활과 밀접한 1,600개 핵심 IT 시스템을 전수 점검합니다. 단순 서류 검증을 넘어, 실제 해킹 시나리오를 기반으로 한 침투 테스트 방식의 점검을 병행해요. 통신 3사는 사전 동의를 거쳐 불시 점검을 받을 예정이죠. 보안 인증제도인 정보보호관리체계(ISMS · ISMS-P)는 ‘인증을 위한 인증’ 구조에서 벗어나 현장 중심의 상시 심사 체계로 전환됩니다. 중대한 결함이 확인되면 인증이 취소되고, 최고정보보호책임자의 실질적 통제 권한과 실행력을 중심으로 평가 기준이 변경됩니다.
공공부문은 내년 1분기까지 정보보호 예산과 인력을 정보화 예산 대비하여 일정 비율 이상 확보해야 하죠. 기관 경영평가에서 보안 배점도 기존보다 두 배 높아지며, 정부 정보보호책임관 직급 역시 국장급에서 실장급으로 상향됩니다.
민간 영역에서는 정보보호 공시제도가 전면 개편됩니다. 공시 의무 대상을 기존 666개사에서 상장사 전체 2,700여 개로 확대되고, 기업의 보안 수준은 등급제로 공개돼요. ISMS 인증과 공시 성실도에 따라 과징금을 감면받는 인센티브 제도가 신설되죠. 다만 메타, 구글 등 글로벌 빅테크가 여전히 공시 의무 대상에서 제외돼 형평성 논란이 남아 있어요.
글로벌 기준에 맞춘 보안 체계로의 전환도 병행됩니다. 2026년부터 금융기관과 공공기관은 특정 보안 프로그램 설치를 강요할 수 없게 되며, 대신 다중 인증(MFA)과 인공지능(AI) 기반 이상 탐지 시스템을 도입해야 합니다. 물리적 망 분리 중심의 기존 규제는 데이터 중심 보안 체계로 바뀌고 공공 시스템에는 민간 클라우드 도입도 확대됩니다. 또 2027년까지 모든 공공 IT 시스템은 ‘소프트웨어 구성요소 명세서’를 제출해야 하며, 취약 제품은 조달에서 배제되죠.
피해자 보호 체계도 대폭 강화됩니다. 그동안 해킹 피해 증명 책임을 소비자가 떠안던 구조가 정부가 먼저 조사하고 기업의 재발 방지 대책 이행 여부를 확인하는 방식으로 전환돼요. 해킹 정황이 확보되면 기업의 신고가 없어도 직권조사할 수 있도록 권한을 확대하고, 사고 은폐나 신고 지연에는 매출액의 최대 10%까지 징벌적 과징금이 부과됩니다. 개인정보 유출로 발생한 과징금은 피해자 구제에 활용할 수 있는 별도 기금으로 조성된다고 해요.
배경훈 과학기술정보통신 장관은 “해킹과 보안 문제는 앞으로도 계속 발생할 것이지만, 정부가 부족했던 점을 인정하고 제도적 허점을 메우겠다”라며 “12월 완성된 대책안으로 실행 중심의 대책을 공개하겠다”라고 강조했어요. 이번 대책은 ‘사후 제재 중심’에서 ‘상시 점검·즉각 대응 체계’로의 전환을 예고합니다. 정부가 컨트롤타워 법제화를 추진하며 보안을 국가 인프라의 기본 설계로 계획한 만큼, 보안을 비용이 아닌 생존의 투자로 인식하게 만드는 변화가 중요할 것으로 보입니다.
콘텐츠 제공 : 바이라인네트워크(byline.network)
