민·관을 불문하고 반복되는 해킹 사고에 정부가 칼을 빼들었다. 앞으로 해킹 정황이 있는 기업은 신고 없이도 정부가 현장 조사에 나설 수 있다. 보안 의무를 위반한 기업에 대한 징벌적 과징금 등 각종 제재도 강화된다.

과학기술정보통신부와 기획재정부, 금융위원회, 행정안전부, 국가정보원 등 관계부처는 22일 정부서울청사에서 이같은 내용을 담은 ‘범부처 정보보호 종합대책’을 발표했다.

배경훈 부총리 겸 과학기술정보통신부 장관이 22일 오후 서울 종로구 정부서울청사에서 범부처 정보보호 종합대책 합동 브리핑을 하고 있다. 뉴스1

올해 통신사, 금융사 등 분야를 막론하고 연이어 발생한 해킹 사태에 보안 전문가들 사이에선 기존의 사후 조사 중심 체계와 부처별 대응으로는 효과적인 대응이 어렵다는 지적이 이어져 왔다. 이에 따라 정부는 민간과 공공을 아우르는 범부처 정보보호 종합대책을 수립했다. 배경훈 부총리 겸 과기정통부 장관은 이날 “최근 반복되는 해킹 사고를 심각한 위기 상황으로 인식하고 있으며, 범정부 차원의 유기적인 대응체계를 즉시 가동하겠다”고 밝혔다. 이어 “사안의 시급성을 고려해 즉시 실행할 수 있는 단기 과제들을 먼저 제시하고, 연내 중장기 과제를 망라하는 ‘국가 사이버안보 전략’을 수립할 계획”이라고 덧붙였다.

우선 정부는 공공과 민간의 금융·통신 등 1600여 개 IT시스템에 대한 보안 취약점 점검을 즉시 추진하기로 했다. 해킹에 대한 국민의 만연한 불안감 해소를 위해서다. 공공기관 기반시설 288개, 중앙·지자체 152개, 금융업 261개, 통신·플랫폼 등 정보보호관리체계(ISMS) 인증 기업 949개가 대상이다. 특히 통신사의 경우 실제 해킹 방식의 강도 높은 불시 점검을 추진하겠다고 밝혔다. 통신사 이외 플랫폼 업계 등 주요 기업들은 자체 점검 결과를 CEO 확인을 거쳐 정부에 제출하도록 했다.

배경훈 부총리 겸 과학기술정보통신부 장관이 22일 오후 서울 종로구 정부서울청사에서 범부처 정보보호 종합대책 합동 브리핑을 하고 있다. 뉴스1

아울러 정부가 해킹 정황을 확보한 경우, 기업의 신고 없이도 현장 조사를 할 수 있도록 조사 권한을 확대했다. 해킹 신고가 지연되거나 재발 방지 대책을 미이행하는 등 보안 의무 위반에 대한 과태료·과징금을 상향하고, 이행강제금과 징벌적 과징금을 도입하는 등 제재를 강화하는 방안도 발표했다. 제재 규모에 대해 배 부총리는 “개인정보나 금융 관련된 이슈에 있어서는 전체 매출의 3% 정도 과징금을 부과할 수 있다”고 말했다.

이를 두고 기업들 사이에서는 정부의 조사 권한 남용 가능성에 대한 우려 목소리도 나온다. 통신업계 관계자는 “조사 권한이 확대되면 경찰 등 조사 기관의 권한 남용과 사찰 가능성에 대한 걱정이 있다”며 “일방적 제재보다 기업이 자발적으로 해킹 정황을 신고할 수 있는 유인책이 필요하다”고 말했다.

황석진 동국대 정보보호대학원 교수는 “정부 방향성은 공감되나 직권 조사로 인한 기업들의 피해가 생기지 않도록 해킹 정황 확보의 범위를 어디까지 인정할 것인지 깊이 있는 논의가 필요하다”고 짚었다. 김승주 고려대 정보보호대학원 교수는 “신고가 들어와야만 조사를 할 수 있다는 게 통신사 해킹 사태 등에서 큰 문제가 됐다”면서 “어떤 경우에 직권 조사를 할 수 있는지 정부와 전문가, 기업들이 논의를 거쳐 결정할 것”이라고 설명했다.

정부는 정보 보호 예산과 인력도 확대할 방침이다. 배 부총리는 “정부도 해킹 이슈에 자유롭지 않다는 걸 인정한다”며 “내년 정보화 예산의 7.7%인 4012억원을 정부 정보보호에 투자할 예정”이라고 밝혔다. 민간에 대해선 정보보호 공시 의무 기업을 상장사 전체로 확대, 공시 결과를 토대로 보안 역량 수준을 등급화 해 공개하는 제도를 도입하기로 했다. 이와 함께 기업 최고경영자(CEO)의 보안 책임은 법령에 명시하고, 보안최고책임자(CISO·CPO)의 권한과 의사결정 범위도 확대할 전망이다.