금융·통신 등 실생활에 밀접한 분야에서 해킹 사고가 계속되면서 정부가 신고 지연 등 기업들의 늑장 대응에 강경 대응을 예고했다. 과징금 범위 역시 기존 매출의 3%가 아닌 영국(매출의 10%) 사례를 참고해 확대될 예정이다.
22일 과학기술정보통신부와 기획재정부, 금융위원회, 행정안전부, 국가정보원 등 관계부처는 22일 정부서울청사에서 이러한 내용을 담은 ‘범부처 정보보호 종합대책’을 발표했다.
과기정통부를 비롯한 관계부처는 공공과 민간을 가리지 않고 반복되는 해킹 사고를 심각한 국가적 위기로 인식하고, 국가안보실을 중심으로 범정부 차원의 유기적 대응체계를 즉시 가동한다고 밝혔다. 국가안보실을 총괄 컨트롤타워로, 공공기관은 국가사이버위기관리단, 민간기업은 과기정통부가 중심 역할을 수행한다.
정부는 우선 전국 1600여 개 핵심 IT 시스템에 대한 대대적인 보안 점검에 착수한다. 배경훈 부총리는 “이번 점검은 1600개 핵심 기업을 대상으로 한 단기 목표지만, 이외에도 점검이 필요한 기관들이 많다”며 “모의훈련이나 화이트해커 참여 등 다양한 방식으로 1600개 외 기업들도 자율적으로 시스템을 점검할 수 있도록 지원 대책을 추가로 마련하겠다”고 말했다.
류제명 과기정통부 제2차관은 “통신3사 망은 모의해킹이 아닌 실전 침투 테스트 방식으로 점검하기로 했다"며 "점검은 통신3사로부터 동의를 받았다. 외부 민관 전문가를 투입해 조사를 진행하고, 다른 주요 기업들은 보안최고책임자(CISO)가 자체 점검 후 결과를 대표(CEO)가 확인해 정부에 제출하도록 했다”고 말했다.
해킹 사실을 은폐 축소하는 관행을 막기 위해, 해킹 정황 발견 시 정부는 기업 신고 없이도 현장 조사를 실시할 수 있도록 제도를 개선한다.
해킹 지연 신고나 재발 방지 미이행, 개인정보 반복 유출 등 보안 의무 위반에는 과징금 상향과 징벌적 제재를 적용할 계획이다. 현재 국내법상 개인정보 유출 사고 시 매출의 3%를 과징금으로 부과하지만, 영국(10%) 등 해외 사례를 참고해 제재 수준을 높이는 방안도 검토 중이다.
해외 기업도 국내 개인정보보호법 기준에 따라 과징금 확대 적용을 받게 된다. 개보위도 징벌적 과징금과 관련해 고의적 자료 은폐, 반복 위반, 중대한 과실 등이 있는 경우 현행 과징금 제도를 가중 적용할 계획이라고 밝혔다.
배 부총리는 “페널티를 무조건 부과하기 위한 제도가 아니라, 기업들의 보안 투자와 책임 있는 관리 체계 구축을 유도하기 위한 것”이라며 “적극적으로 투자하는 기업에는 분명히 인센티브를 제공하는 방안을 마련하겠다”고 설명했다.
업계는 정부의 권한 남용에 대한 우려를 제기한다. 해킹 사고가 아닌 정황만으로 민간 기업을 강제 조사할 수 있는 권한을 줄 경우 경찰권의 남용이나 민간 기업 사찰이 발생할 수 있다는 것이다. IT 업계 관계자는 "해킹 정황만으로 조사할 수 있다는 점은 사실상 자의적으로 정부가 민간 기업을 조사할 수 있는 권한을 부여하겠다는 것"이라며 "기업들이 스스로 신속하게 신고하고 이를 통해 문제를 해결할 수 있도록 유도할 필요가 있다"고 말했다.
최연재 기자ch0221@ajunews.com
기자의 다른기사
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지
![[르포] 중력 6배에 짓눌려 기절 직전…전투기 조종사 비행환경 적응훈련(영상)](https://image.ajunews.com/content/image/2024/02/29/20240229181518601151_258_161.jpg)
