[이슈플러스]정보보호 공시 의무 상장사로 확대…신고 없이도 해킹 조사 작성일 10-22 18 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="HkOjtvoMmP"> <figure class="figure_frm origin_fig" contents-hash="70334352924a4e4c6963163e6d0c59c8eb02c4e02adc684e4e7bf1363e3f6cfa" dmcf-pid="XEIAFTgRr6" dmcf-ptype="figure"> <p class="link_figure"><img alt="ⓒ게티이미지뱅크" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202510/22/etimesi/20251022140255671jrsf.jpg" data-org-width="700" dmcf-mid="3qW6Pqvmsl" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202510/22/etimesi/20251022140255671jrsf.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> ⓒ게티이미지뱅크 </figcaption> </figure> <p contents-hash="e695905affeead23b48ea89a1feefcbb51e6127d6480406edf7d6b78ccde3471" dmcf-pid="ZOTr7XkLO8" dmcf-ptype="general">정보보호 공시 의무 대상 기업이 전체 상장사로 확대되고 기업 보안역량 수준을 등급화한다. 또 정부가 해킹 정황을 확보하면 기업 신고 없이도 신속히 현장을 조사할 수 있도록 권한을 강화한다. 기업의 정보보호 투자를 유도하는 한편 사이버 침해 사고를 신속히 파악해 피해 확산을 최소화하겠다는 것이다.</p> <p contents-hash="7a9eb06df2c2b24a238b176553f2f65a952b605f9087493b913ec42d36085bf7" dmcf-pid="5IymzZEos4" dmcf-ptype="general">과학기술정보통신부와 관계부처가 22일 이 같은 내용을 담은 '범부처 정보보호 종합대책'을 발표했다. 이번 대책엔 즉시 실행이 가능한 단기 과제를 중심으로 담았으며, 연내 중장기 과제를 망라하는 '국가 사이버안보 전략'을 수립할 계획이다.<br></p> <figure class="figure_frm origin_fig" contents-hash="230fe316005f2b78d8187a4a8cede308225ed821e5af9b3a265627334be71d98" dmcf-pid="1CWsq5DgIf" dmcf-ptype="figure"> <p class="link_figure"><img alt="범부처 정보보호 종합대책 목표 및 추진 방향. [자료=과학기술정보통신부]" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202510/22/etimesi/20251022140256967dyjq.png" data-org-width="700" dmcf-mid="0ItnL61yOh" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202510/22/etimesi/20251022140256967dyjq.png" width="658"></p> <figcaption class="txt_caption default_figure"> 범부처 정보보호 종합대책 목표 및 추진 방향. [자료=과학기술정보통신부] </figcaption> </figure> <p contents-hash="f850dc5613e17864905b1ab9525f9d09f667007d5f0d8326d833de9e8475b31e" dmcf-pid="thYOB1waDV" dmcf-ptype="general"><strong>◇공공·민간 정보보호 역량 강화</strong></p> <p contents-hash="988186d1bf57ff6f592a48853ed892e4c6423175e92b1489f2fc8a0a98b52d87" dmcf-pid="FlGIbtrNm2" dmcf-ptype="general">먼저 정부는 내년 정보보호 예산·인력을 확대하기로 했다. 이를 위해 정보보호 예산·인력을 정보화 대비 일정 수준 이상으로 확보할 계획이다. 현재는 정보화 예산 대비 15% 이상의 정보보호 투자를 권고하는 선언적 규정에 머물러 있다.</p> <p contents-hash="a63d1194b7836fe88afb8d6f6c784f1b4a6ea2cad10f23ae4fd6fa078316ad8b" dmcf-pid="3SHCKFmjO9" dmcf-ptype="general">또 정보보호책임관 직급을 기존의 국장급에서 실장급으로 상향하며 공공기관 경영평가 시 사이버보안 배점 상향(0.25→0.5점)을 추진한다.</p> <p contents-hash="c048e4aba2bb93f9749daaa53a379e23c3138bef4ecf6913d3d5479086bc15f0" dmcf-pid="0vXh93sAsK" dmcf-ptype="general">공급망 보안의 핵심 중 하나인 소프트웨어자재명세서(SBOM)도 2027년까지 의무화한다. 제도가 시행되면 공공분야에 사용되는 정보기술 시스템·제품은 SBOM을 제출해야 한다. 또 보안 문제가 발견된 정보기술(IT) 제품은 공공 조달을 제한하는 방안도 추진한다.</p> <p contents-hash="766a368ff86ec7645dcea9f4e137367f72e368a2217fef6a02b5bc5e3c72b27d" dmcf-pid="pTZl20OcDb" dmcf-ptype="general">정부는 민간의 보안 역량 강화를 위해 정보보호 투자 유도 카드를 꺼내들었다.</p> <p contents-hash="797f4c2f945fdf90647c1aa0c5b73c4db4053f3e78086cdc0b8e8b25243ae935" dmcf-pid="Uy5SVpIkmB" dmcf-ptype="general">구체적으로 정보보호 공시 의무 기업을 상장사 전체로 확대하고, 공시 결과를 토대로 보안 역량 수준을 등급화해 공개할 방침이다.</p> <p contents-hash="b9ae127afc546a0f2d0f8018a93e8329b739bc0237b367ec43269d878f9d4784" dmcf-pid="uW1vfUCEsq" dmcf-ptype="general">또 최고경영책임자(CEO)의 보안 책임 원칙을 법령상 명문화하는 동시에 최고보안책임자(CISO·CPO)의 권한을 대폭 강화한다. 자체 보안 역량이 부족한 중소·영세기업 대상으론 정보보호 지원센터 확대(10개소→16개소) 등을 통해 지원할 방침이다.</p> <p contents-hash="8da47a670c1750d31ebf5633061bc6309e4fcd2f74160fd6e12cc80583fb21b2" dmcf-pid="7YtT4uhDsz" dmcf-ptype="general"><strong>◇정부, 해킹 정황 확보 시 신고 없이도 조사</strong></p> <p contents-hash="ddffc69398e2b5599d370084212f02fb8ea83e11924f098a4888a4c94d18cd54" dmcf-pid="zGFy87lws7" dmcf-ptype="general">정부의 해킹 조사 권한도 강화된다. 당국이 해킹 정황을 확보하면 조사에 착수할 수 있도록 제도를 개선하기로 했다. 그간 현행법상 당국은 해킹 정보를 입수해도 기업의 침해 신고가 없으면 조사에 나설 수 없어 초동조치가 어렵다는 지적이 제기돼왔다.</p> <p contents-hash="30073a82ffafd1181d105a7d43ded1e251c93c5e6627a27f7c6bc48377cdc8bd" dmcf-pid="qH3W6zSrwu" dmcf-ptype="general">사이버 침해 사고와 관련한 제재도 강화된다. 해킹 지연 신고, 재발 방지 대책 미이행, 개인·신용 정보 반복 유출 등 보안 의무 위반에 대해 과태료·과징금을 상향하는 동시에 이행강제금과 징벌적 과징금 제도를 도입할 계획이다.</p> <p contents-hash="856e29b66230de4b6c8d5308586f74aa80c06a4360be93644385736aa75dc892" dmcf-pid="BX0YPqvmDU" dmcf-ptype="general">아울러 소비자 중심의 피해구제 체계를 구축하기 위해 기업의 보안 해태로 인한 해킹 발생 시 소비자의 입증책임 부담을 완화하고 통신·금융 등 주요 분야는 이용자 보호 메뉴얼을 마련하기로 했다.</p> <p contents-hash="5e5d112f25b55dd26ee036ff5478e2da0dab1b5dcda6d8e3a536de605c9d203f" dmcf-pid="bLcJWmMVDp" dmcf-ptype="general"><strong>◇사이버 보안 생태계 육성</strong></p> <p contents-hash="55c4dfa5c11ee1a7d2c300b89d05f26c589fd9a9962e393fdc6a237f10681419" dmcf-pid="KokiYsRfm0" dmcf-ptype="general">국내 사이버 보안 생태계 육성에도 팔을 걷어붙인다.</p> <p contents-hash="5b8d4f31db3712c2d39a731c6cf6de85d6aebbfd9d1f2bc8b1196ac84c7d6ede" dmcf-pid="9gEnGOe4E3" dmcf-ptype="general">정부가 목표로 내건 '인공지능(AI) 3대 강국'의 필수 요건인 '보안'을 위해 AI 에이전트 보안 플랫폼 기업 등 연간 30개사를 집중 육성하는 한편 정보보호 서비스 범위를 확대해 보안 산업의 저변을 넓힌다.</p> <p contents-hash="7c30c3af0cd67ee121cd4222ca3e55275e9d21f0ca5a944c2144842b35a75298" dmcf-pid="2aDLHId8OF" dmcf-ptype="general">또 기업 수요를 중심으로 연간 500명 이상의 화이트해커를 양성하는 체계로 재설계하고, 정보보호특성화대학·융합보안대학원을 권역별 성장엔진 산업에 특화된 보안 인재 양성 허브로 자리매김하도록 기능을 강화한다.</p> <p contents-hash="0b6b8d2e29eb8e620532c0587f9c007ff14e093d1a727e786092e911c04b1ec8" dmcf-pid="VNwoXCJ6Et" dmcf-ptype="general">이 밖에도 양자내성암호 기술 개발 등 국가적 암호체계로 전환하고, 공공부문에서 자율주행차, 지능형 로봇, 드론 등 신기술 모빌리티의 안전한 활용을 위한 보안 체크리스트·가이드라인을 수립한다.</p> <p contents-hash="3332a1661f43c54f4853fd1f8b67a6d3ca4d7e45139aa5539ba350a227c158f9" dmcf-pid="fjrgZhiPs1" dmcf-ptype="general"><strong>◇국민 생활에 밀접한 IT 시스템에 대한 대대적 점검</strong></p> <p contents-hash="986ba4f66730eaeb3e069b44a89cea6fe04e6eaa5376f2bf69b9ae9810432adb" dmcf-pid="4Ama5lnQE5" dmcf-ptype="general">국민생활에 밀접한 IT 시스템에 대한 대대적인 보안 취약점 점검에도 나선다. 공공·금융·통신 등 국민 대다수가 이용하는 1600여개 IT 시스템이 대상이다. 특히 통신사의 경우 실제 해킹 방식의 강도 높은 불시 점검을 추진하고 주요 IT 자산에 대한 식별·관리체계를 구축하도록 한다. 소형기지국(펨토셀)은 안정성이 확보되지 않을 시 즉시 폐기하는 등 더 엄격히 조치할 방침이다.</p> <p contents-hash="bc3abbb551a6a04701183730f2bab5514cad37ee641d1438e4543090241497b7" dmcf-pid="8csN1SLxrZ" dmcf-ptype="general">실효성에 의문이 제기됐던 보안인증제(ISMS, ISMS-P)도 손본다. 인증 평가를 현장 심사 중심으로 전환하고 중대한 결함이 발견될 경우 인증을 취소하기로 했다.</p> <p contents-hash="a55ee263fe5129eabb531053125f59df2dcb93e02d6afc296c34e2e077df264b" dmcf-pid="6kOjtvoMIX" dmcf-ptype="general">이 외에도 모의해킹과 화이트해커를 활용한 상시 취약점 점검 체계도 구축한다.</p> <p contents-hash="ab69e622636f3b1ba898d317241413cd5c105b2c3f40fa8510565988da1e6ef1" dmcf-pid="PEIAFTgREH" dmcf-ptype="general"><strong>◇범국가적 사이버안보 협력 체계 강화</strong></p> <p contents-hash="9dc0b2362a76d8d70f0ea51fc258f5f38ec8f056d5af5e6f23fdf83d52b29462" dmcf-pid="QDCc3yaesG" dmcf-ptype="general">원스톱(One-Stop) 신고체계도 도입한다. 부처별로 파편화된 해킹사고 조사과정을 체계화하기 위해서다. 이를 통해 조사단별 투입시기를 최적화하고 상호 정보공유를 강해해 현장 혼선을 최소화할 계획이다. 또 민·관·군 합동 조직인 국가정보원 산하 국가사이버위기관리단과 정부 부처 간 사이버 위협 예방·대응 협력을 강화한다.</p> <p contents-hash="b298b7615af05ae7963642f8f2d862c28fc2ac5b6f2f0cee9cb6a3459b3e9d88" dmcf-pid="xwhk0WNdmY" dmcf-ptype="general">아울러 국가 핵심 인프라인 주요정보통신기반시설 지정을 확대하고, 기반시설의 사고 원인 조사 단계에선 침해사고대책본부(국가사이버위기관리단)를 활성화한다.</p> <p contents-hash="0b884a8bc83c87d84925a5f559cbf8b4492b37ec52d445668d092ceaa8779cdd" dmcf-pid="yB47NM0HmW" dmcf-ptype="general">배경훈 부총리 겸 과기정통부 장관은 “이번 종합대책이 현장에서 제대로 작동될 때까지 실행 과정을 면밀히 살펴보며 부족한 부분을 지속 보완해 나가겠다”며 “정부는 AI 강국을 뒷받침하는 견고한 정보보호 체계 구축을 취해 총력을 기울이겠다”고 말했다.<br></p> <figure class="figure_frm origin_fig" contents-hash="a43fb26acb5369bc857c5425450b1cec6e62782cbdadd9f3ba52ccd1ea85b6d4" dmcf-pid="Wb8zjRpXOy" dmcf-ptype="figure"> <p class="link_figure"><img alt="범부처 정보보호 종합대책 개요. [자료=과학기술정보통신부]" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202510/22/etimesi/20251022140258216sryx.png" data-org-width="699" dmcf-mid="pRGMR9YCDC" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202510/22/etimesi/20251022140258216sryx.png" width="658"></p> <figcaption class="txt_caption default_figure"> 범부처 정보보호 종합대책 개요. [자료=과학기술정보통신부] </figcaption> </figure> <p contents-hash="a561d4670a0b773a017023813a1e4bad304273511dc4ddf72247cfb02c7c0280" dmcf-pid="Y2QbkJ71DT" dmcf-ptype="general">조재학 기자 2jh@etnews.com</p> </section> </div> <p class="" data-translation="true">Copyright © 전자신문. 무단전재 및 재배포 금지.</p> 관련자료 이전 '솔로지옥3' 윤하정 "돌싱 사주라 개명 결심, 2년 만에 결혼이 목표" ('돌싱포맨') 10-22 다음 인텔리안테크, 글로벌 해양IT기업 전환…매출 1조 시대 연다 10-22 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
