정부가 최근 잇따른 해킹 사고와 늑장 신고 사태에 대응해, 기업의 신고 없이도 해킹 정황이 포착되면 즉시 현장 조사를 실시할 수 있도록 조사 권한을 대폭 강화하기로 했다. 

과학기술정보통신부를 비롯한 관계부처는 22일 정부서울청사에서 '범부처 정보보호 종합대책'을 발표하며 보안의무 위반 기업에 대한 징벌적 과징금 도입, 이행강제금 부과 등 제재 수위를 높이겠다고 밝혔다. 

정부는 SK텔레콤, KT, 롯데카드, SK쉴더스 등 주요 통신사 해킹 사고와 늑장 신고로 초기 대응이 늦어졌던 사례를 문제로 지적했다. 이와 함께 공공·금융·통신 분야 등 국민이 이용하는 1600여 개 IT시스템에 대한 전면 점검을 추진하고, 보안 공시 의무 대상을 상장사 전체로 확대한다. 

업계에서는 경찰권 남용과 기업 평판 리스크 우려도 제기되고 있다.

[미니해설] 정부, 해킹 정황시 기업 신고 없어도 조사 '초강수 대책'

최근 연이은 해킹 사고와 늑장 신고가 사회적 파문을 일으키자, 정부가 사이버 보안 체계를 근본적으로 손보는 초강수 대책을 내놨다. 해킹 정황이 포착될 경우 기업의 신고 여부와 상관없이 현장 조사가 가능하도록 법·제도적 틀을 정비하고, 보안 의무 위반에 대한 징벌적 과징금과 이행강제금까지 도입하기로 한 것이다.

과학기술정보통신부, 기획재정부, 금융위원회, 행정안전부, 국가정보원 등 관계부처는 22일 '범부처 정보보호 종합대책'을 발표하고, 국가안보실을 중심으로 공공·민간의 사이버 보안 대응 체계를 전면 강화하겠다고 밝혔다.

이번 대책은 SK텔레콤·KT 등 주요 통신사의 해킹 사고 이후 늑장 신고와 피해 확산이 이어진 데 대한 후속 조치 성격이 짙다. 지난 4월 SK텔레콤은 유심 정보 해킹 사실을 인지한 뒤 하루가 지난 시점에야 한국인터넷진흥원(KISA)에 신고했고, KT는 불법 기지국(펨토셀)으로 인한 무단 소액결제 피해를 사고 발생 후 3일 만에 보고했다. 정보통신망법상 해킹 사고는 발생 후 24시간 이내에 신고해야 하지만, 현실에서는 '골든타임(사고 발생 직후 24시간~48시간)'을 놓친 사례가 반복되고 있다.

이에 따라 정부는 "해킹을 인지하고도 은폐하거나 신고를 지연하는 관행을 끊기 위해 제도 개선이 불가피하다"며, 앞으로는 해킹 정황이 포착되면 기업의 신고 없이도 현장 조사를 착수할 수 있도록 했다. 신고 지연, 재발 방지 미이행, 개인정보·신용정보 반복 유출 등 보안 의무 위반 행위에는 과태료·과징금 상향과 함께 징벌적 과징금 부과가 가능하도록 법 개정을 추진한다.

특히 정부는 통신·금융·공공 등 국민이 직접 이용하는 핵심 인프라 1600여 개 IT시스템을 대상으로 전면 점검에 착수한다. 최근 침해 사례가 잦고 2차 피해 위험이 큰 통신사에는 실제 해킹 시나리오를 적용한 불시 점검을 실시할 방침이다.

보안 체계의 구조적 취약점을 개선하기 위해 기업들이 주요 IT 자산의 식별·관리 체계를 구축하도록 하고, 보안이 취약한 소형 기지국(펨토셀)은 안전성이 확보되지 않을 경우 즉시 폐기하도록 했다. 또 해킹 피해 발생 시 소비자의 입증 책임을 완화하고, 통신·금융 등 주요 업종별로 이용자 보호 매뉴얼을 마련하기로 했다.

정부는 정보보호 공시 의무 대상을 현행 666개 기업에서 상장사 전체(약 2700여 개)로 확대해 기업별 보안 수준을 공개 등급화한다. 아울러 유명무실하다는 비판을 받아온 보안 인증 제도(ISMS·ISMS-P)는 현장 중심 심사로 전환해 사후 관리 강화를 추진한다. 기업 최고경영자(CEO)의 보안 책임 원칙을 법제화하는 방안도 검토 중이다.

한편 업계에서는 정부의 조사권 강화가 자칫 경찰권 남용이나 사찰로 비화할 수 있다는 우려도 나온다. 한 통신업계 관계자는 "신고 없이 정부가 현장에 들어올 수 있게 되면 기업 경영활동에 과도한 부담이 될 수 있다"며 "조사 결과가 해킹이 아닌 것으로 밝혀질 경우 기업 평판이 훼손될 우려가 있어 조사 대상 공개 절차에 대한 보완이 필요하다"고 말했다.

또 다른 업계 관계자는 "기업도 해킹의 피해자인 만큼, 자발적 신고를 유도할 수 있는 인센티브나 감면 제도도 병행돼야 한다"고 지적했다.

이번 대책은 단기적인 제재 강화에 그치지 않고, 중장기적으로 국가 차원의 사이버 안보 역량 강화를 겨냥하고 있다. 정부는 국정원 산하 국가사이버위기관리단과 부처 간 협력을 확대해 민관군 합동 대응 체계를 강화할 계획이다. 인공지능(AI) 기반 지능형 포렌식 실험실을 구축해 해킹 사건 분석 기간을 현재 14일에서 5일 이내로 단축하고, 공공기관 정보보호 책임관 직급을 국장급에서 실장급으로 상향한다.

보안 인력 양성도 강화된다. 정부는 차세대 AI 보안 기업을 연간 30개사 규모로 육성하고, '화이트 해커' 등 고급 보안 전문가를 매년 500명 이상 양성할 계획이다.

정부는 올해 안에 이번 종합대책을 포함한 중장기 국가 사이버안보 전략을 확정해 시행할 방침이다.

전문가들은 이번 조치가 "정부가 사이버 보안을 단순 기술 이슈가 아닌 국가 안보의 핵심 축으로 인식하기 시작한 신호"라고 평가한다. 

이번 대책이 단순한 '보안 강화'가 아니라, 디지털 시대의 새로운 사회계약으로 자리 잡을지 주목된다.