화이트해커가 ‘미리’ 지키고 유출 ‘가능성’도 통지... 정보보호 2차 대책 발표 작성일 01-29 12 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="9TLDSTrNI8"> <p contents-hash="ff40f509791056ef7879da81abf3baceefb657f7be9db02c18afc3fe4ddb298c" dmcf-pid="2yowvymjr4" dmcf-ptype="general"><strong>[3줄 요약]</strong><br><u>1. 선제적 보안 적극적인 기업에 인센티브 방안 마련 <br>2. 유출 늑장통지 예방하고 미국식 손배 도입 추진<br>3. AI로 탐지 및 대응 고도화하고 암호화로 해킹 무력화</u></p> <p contents-hash="5cd6d9e7b9943f57ae99b10bddc439bcb341ecb04e11ab600cbd03124c488f50" dmcf-pid="V5khX5Srmf" dmcf-ptype="general">[보안뉴스 강현주 기자] 화이트해커가 미리 취약점을 탐지하는 ‘선제적 보안’ 체계를 심는다. 정보 유출 ‘가능성’부터 통지 의무를 지우는 등 기업 책임 및 소비자 권익 보호를 강화한다. 탐지와 대응을 위한 인공지능(AI) 및 해킹 무력화를 위한 암호화 등 첨단 기술을 활용한다. </p> <p contents-hash="91ad8762c6e3b52fed8643b591c6fe6cc8f80f3b277d776120150e0b703e4c9e" dmcf-pid="f1ElZ1vmIV" dmcf-ptype="general">범부처가 합동으로 발표한 제2차 정보보호 종합대책 주요 내용이다. </p> <figure class="figure_frm origin_fig" contents-hash="1914444b8824d3dc542b253b7937dfcd9d42c05143f91e7592db8a3617036da9" dmcf-pid="4tDS5tTsm2" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202601/29/552815-KkymUii/20260129110429695mfhj.jpg" data-org-width="1000" dmcf-mid="bnurTWsAwP" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202601/29/552815-KkymUii/20260129110429695mfhj.jpg" width="658"></p> </figure> <div contents-hash="4c4beab9f8b12811b95398d5b6b34d4575471df41324d644c27bb3cd7e3ae08d" dmcf-pid="8Fwv1FyOO9" dmcf-ptype="general"> <div> <p>[자료: gettyimagesbank]</p> </div> <br><strong>”해커 활용 선제적 보안에 적극적인 기업 인센티브”</strong> <br>종합대책은 △선제적 보안 체계 도입 △기업 책임 및 소비자 권익 강화 △AI 등 첨단기술 활용 등을 골자로 한다. 해킹이 고도화된 현실에 맞는 대응책을 마련하기 위해서란 설명이다. </div> <p contents-hash="fd636a0d69729d0b5fb42179cef37aaea3b16e310d5e326692798b74dd38b7d3" dmcf-pid="63rTt3WIEK" dmcf-ptype="general">정부는 ‘화이트해커’를 전면에 내세운다. 해커를 활용한 취약점 신고·조치·공개 제도를 마련할 방침이다. 기업·기관이 일정 조건 하에 자신의 정보통신자산에 대해 화이트해커의 취약점 발굴을 허용하는 제도다. 기업이 자율적으로 이 제도를 활용할 수 있도록 신고 절차, 면책 조건 등의 기준을 마련, 적극적 취약점 개선 노력에 대한 인센티브 제공 방안을 낼 계획이다. </p> <p contents-hash="56f3fc13986c053fa65b960a7280efd330523632ca8f7d122b8e493be1020e9d" dmcf-pid="P0myF0YCmb" dmcf-ptype="general">공공분야 취약점 개선도 화이트해커를 통해 활성화할 방침이다. 참여기관에 먼저 고지 후 선제적 취약점 발굴, 패치 개발, 취약점 공개의 순서로 이뤄진다. </p> <p contents-hash="e7bdbfd128a70e9e7bbefbcf2c70aeb15f7414ffce15b2581d01e738453c834a" dmcf-pid="QpsW3pGhsB" dmcf-ptype="general">민관사이버 위협정보 공유시스템을 통한 신속한 정보 공유도 추진하며, 이를 위해 AI 보안 위협 정보 공유 기능도 도입할 예정이다. </p> <p contents-hash="ec7051018d38873ec026283f28b5c92d2896b568c3cc64fed5a3f874e688b263" dmcf-pid="xUOY0UHlrq" dmcf-ptype="general"><strong>유출 ‘가능성’도 의무 통지... 미국식 집단소송 제도 검토</strong><br>정부는 소비자 등 정보주체 보호 강화를 위해 기업 책임을 강화했다. 손해배상 판결 효력이 소송 참여자 외에 당사자들에게도 적용되는 미국식 집단소송 제도는 국내 소송제도 전반을 검토 후 도입을 추진한다. </p> <p contents-hash="ed358c0fc564a8dc3047823bb7c0a41f20c979735bce6bdbe30fe4d09f059b0e" dmcf-pid="yA2RNAd8Ez" dmcf-ptype="general">침해사고로 인한 개인정보 유출 이외의 소비자 피해에 대해서도 분쟁조정 제도를 도입한다. 또 대규모 피해 야기 해킹 등의 사고가 발생할 때 초기부터 소비자가 신속하게 대응할 수 있도록 유출 가능성만 있어도 통지를 의무화할 방침이다. </p> <p contents-hash="8cefecbc2594d07828bfa7395b7de93413e76414e77c42064bf9671c1a5293b6" dmcf-pid="WP5z8PB3I7" dmcf-ptype="general">현행법상 ‘유출이 있음을 알았을 때’로 규정하면 통지를 지연하는 문제가 발생해온 지난 사례들을 참고한 결과다. 개인정보 ‘위조·변조·훼손’(랜섬웨어 등)도 통지·신고 대상에 포함된다. </p> <p contents-hash="8bc249b09a0bfd738bc0b0eae0e45908e19d18969ac7f75963ddb102811a8048" dmcf-pid="YQ1q6Qb0Du" dmcf-ptype="general">개인정보 보호법상 안전조치 의무 수준을 뛰어넘는 개인정보보호 노력(인력·예산·설비·장치 등)이 있던 경우에 대한 과징금 경감책도 마련한다. </p> <p contents-hash="a7f9ebf031ad5fdc7262091a74a0519dd7ea7425052d5f876794ebaaf0ea11ef" dmcf-pid="GxtBPxKprU" dmcf-ptype="general"><strong>AI와 암호화로 진화하는 해킹 예방 및 대응 강화</strong><br>과기정통부와 국정원은 AI로 자동화된 해킹 공격에 대응해 AI 기반 사이버 위협 탐지·대응시스템(민간·공공)으로 전환하기로 했다. 사이버 공격 전 과정에 AI를 도입해 탐지·대응하고, 침해신고시 사고원인 분석 및 재발방지 대책 수립 등 효율화를 추진한다. ‘보안을 위한 AI’(AI for Security)의 실천인 셈이다.</p> <p contents-hash="1041b3cafeb5c92cc2842503df7da6a26e5fb998bc357d154ca3cbdaef16e5b5" dmcf-pid="HMFbQM9UIp" dmcf-ptype="general">‘AI를 위한 보안’(Security for AI)과 관련, AI 모델 개발 단계부터 보안을 내재화하기 위해 ‘AI 자재명세서’(AI-BOM) 등 전주기 평가 프레임워크 연구개발 및 실증을 추진한다. </p> <p contents-hash="5e4e7d09453472ad987b35de89e4adbe79306c11e8d89eb15686f74fc49f743d" dmcf-pid="XR3KxR2uI0" dmcf-ptype="general">이와 함께 데이터를 보호하면서 활용성을 높이는 암호화 기술 개발에 대한 투자 강화 및 상용화 촉진을 지원할 방침이다. 데이터의 저장·전송·사용 상태에서도 보안성을 강화하는 동형암호, 다자간 연산 등이다. </p> <p contents-hash="fa8647ff42f5290bc0b4d01d5661677b69456623380f6bc5e8e7a688426bb0e5" dmcf-pid="Ze09MeV7E3" dmcf-ptype="general">국가기관, 기업 등이 중요 데이터를 암호화하도록 기반시설 점검 규정 및 인증기준(ISMS)을 개정하고, 국가·공공기관은 신보안체계를 적용해 나갈 방침이다. </p> <p contents-hash="f74026ba73d2ab5430f8428d07dc5c0f1098f0ebb0cc1d6160f3fb6cbe35a1af" dmcf-pid="5dp2RdfzwF" dmcf-ptype="general">이와 함께 정부의 침해사고 조사 기능에 더해 사이버범죄 분야 특별사법경찰 권한 부여, 기업 신고 없는 직권조사가 가능하게 된다. </p> <p contents-hash="f7673d14eef1c52cff674a335a0137b4ce2a3230888ebed813eadbe1ec15a899" dmcf-pid="1JUVeJ4qDt" dmcf-ptype="general">정부는 주요 기업과 국가·공공기관의 시스템을 일체 점검, 인증제도(ISMS, ISMS-P)의 실효성 강화 등을 통한 상시 점검 체계를 구축할 계획이다. </p> <p contents-hash="9ac356d3ec3fc87954312ea4bfb47fc4e5c0098189d1a42da9b7cb285b724094" dmcf-pid="tiufdi8BI1" dmcf-ptype="general">보안이 비교적 취약한 중소기업들을 대상으로 정보보호 지원사업도 확대한다. 취약점 선제적 모니터링 및 개선 지원 등이다. </p> <p contents-hash="772c4fdb908aa8a899375026a609acfc70f01c68bedcf3da92dc50af23295c47" dmcf-pid="F6Z746qFE5" dmcf-ptype="general">또 국민 사생활 밀접 제품 대상 보안 실태점검 강화, 온라인 플랫폼 간편 인증 적용 등 정보보호가 내재화된 사회를 구축할 계획이다. </p> <p contents-hash="73bbdb29712ff6472f0968d12d0e6c79813b0714f07bcf4d180b7792efc43684" dmcf-pid="3P5z8PB3mZ" dmcf-ptype="general">정부 관계자는 “기업의 책임과 소비자 보호 관련 1차 대책을 보완하고, AI로 급변하는 정보보호 환경에 대비할 수 있도록 2차 대책 수립을 추진한다”며 “소비자 피해에 대해 실질적 손해배상이 이루어질 수 있도록 제도를 개선하고 기업의 투자 유인을 강화하겠다”고 말했다. </p> <figure class="figure_frm origin_fig" contents-hash="01cb7e71423488f545a633a2b6ad4b01c7cdc740197ec5fc4a6f8fa05657ba78" dmcf-pid="0Q1q6Qb0EX" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202601/29/552815-KkymUii/20260129110431023dtkg.jpg" data-org-width="628" dmcf-mid="KXAIGXhDm6" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202601/29/552815-KkymUii/20260129110431023dtkg.jpg" width="658"></p> </figure> <div contents-hash="d99f9ec5f44ff8e2b0f230a2a08e9afb186255f458166c99f82cad758317f6b9" dmcf-pid="pxtBPxKprH" dmcf-ptype="general"> <div> <p>▲제2차 정보보호 종합대책 주요 일정 [출처: 과기정통부]</p> </div> </div> </section> </div> <p class="" data-translation="true">Copyright © 보안뉴스. 무단전재 및 재배포 금지.</p> 관련자료 이전 AI도 고개 떨군 '인류 마지막 시험'… 한국연구자도 출제 01-29 다음 최가온 “밀라노에서 비장의 무기로 인생 연기 보여드릴게요” 01-29 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
