최근 들어 해킹 뉴스가 끊이지 않고 있습니다. 공공기관은 물론 금융권, 통신사까지 해킹이 빈번하게 발생하면서 사이버 보안의 중요성이 더욱 부각되고 있는 가운데, 정부에서는 지난 22일 ‘범부처 정보보호 종합대책’을 발표했는데요. 현 사안의 시급성을 고려해 즉시 실행 가능한 단기 과제로 제시된 만큼, 정부의 주요 추진 방향 4가지를 함께 살펴보며 기업과 기관에서는 지금부터 어떻게 대비해야 하는지 총정리해보겠습니다.
1. 핵심 IT 시스템 점검 및 상시 취약점 점검 체계 구축
☑️1,600개 IT 시스템 보안 취약점 점검 즉시 추진
해킹에 대한 국민들의 만연한 불안감 해소를 위해, 공공·금융·통신 등 국민 생활과 밀접한 1,600여개 IT 시스템에 대해 대대적인 보안 취약점 점검을 즉시 추진합니다. 점검 대상은 공공기관 기반시설 288개, 중앙·지방 행정기관 152개, 금융기관 261개, 통신·플랫폼 등 ISMS 인증기업 949개입니다. 특히 통신사의 경우에는 ▲실제 해킹 방식의 강도 높은 불시 점검 ▲주요 IT 자산에 대한 식별 및 관리체계 구축 ▲안정성이 확보되지 않은 소형기지국(펨토셀) 즉시 폐기 등 보다 엄격한 조치 계획을 제시했습니다.
☑️ ISMS 현장 심사로 전환 및 상시 취약점 점검 체계 구축
국내 정보보안 인증제도인 정보보호 관리체계(ISMS)와 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 획득한 기업에서 사고가 잇따르자, 정부는 보안 인증 제도를 개편을 추진합니다. 서류 및 체크리스트 중심 심사를 현장 점검 중심으로 전환하고, 중대한 결함이 발생할 경우 인증을 취소하는 등 사후관리를 강화한다는 방침입니다. 이와 함께 모의해킹 훈련과 화이트해커를 활용한 상시 취약점 점검 체계도 구축도 포함됐습니다.
|
📌이렇게 대응할 수 있어요! ✅ 점검할 대상인 주요 IT 자산 식별 및 관리 |
2. 소비자 중심의 신속 대응체계 구축 및 재발방지 강화
☑️ 소비자 입증책임 부담 완화 및 정부 조사권한 확대
기업의 보안 해태로 해킹 발생 시 소비자의 입증책임 부담을 완화하고 통신·금융 등 주요 분야는 이용자 보호 매뉴얼을 마련하는 등 소비자 중심의 피해구체 체계를 구축합니다. 개인정보 유출 사고로 인한 과징금 수입의 경우, 피해자 지원 등 개인정보 보호에 활용하는 별도 기금 신설을 검토 중입니다. 또한, 해킹 정황을 확보한 경우에는 기업의 신고 없이도 정부가 직접 현장조사를 할 수 있도록 정부의 조사 권한을 확대할 계획입니다.
☑️ 재발 방지 대책 실효성 강화
해킹 지연 신고, 재발 방지 대책 미이행, 개인·신용 정보 반복 유출 등 보안 의무 위반에 대해서는 과태료·과징금 상향, 이행강제금 및 징벌적 과징급 도입 등 제재를 강화한다는 내용도 포함됐습니다. 국가정보원의 조사·분석 도구를 민간과 공동 활용하는 한편, AI 기반 지능형 포렌식실을 구축해 분석 시간을 건당 현행 14일에서 5일 정도로 대폭 단축하는 등 침해사고 탐지 및 대응 역량을 고도화하고 영역별 사고조사 전문 인력을 확보하는데에도 박차를 가할 예정입니다.
|
📌이렇게 대응할 수 있어요! ✅ 보안 사고 발생 시의 대응 메뉴얼 수립 및 점검 |
3. 국가적 정보보호 기반 강화
☑️ 정보보호 투자 확대 및 중소기업 지원 강화
공공의 경우 정보보호예산과 인력을 내년 1분기부터 정보화 대비 일정 수준 이상으로 확보하고 정부 정보보호책임관 직급을 국장급에서 실장급으로 상향하는 한편, 위기 상황 대응 역량 강화 훈련 고도화, 공공기관 영영 평가 시 사이버보안 배점 상향(0.25점 → 0.5점) 등도 추진합니다.
민간의 경우, 정보보호 공시 의무 기업을 기존 666개에서 상장사 전체(약 2,700여개)로 확대하면서 보안 역량 수준을 등급화하여 공개하는 제도를 도입할 예정입니다. 또한 CEO의 보안 책임 원칙을 법령상 명문화하고 보안최고책임자(CISO·CPO)의 권한을 대폭 강화하며 중소·영세기업 대상으로는 정보보호 지원센터 확대 등을 통해 보안 지원을 강화합니다.
☑️ 클라우드 보안 요건 개선 및 27년까지 SBOM 제출 제도화
AI, 클라우드 등의 기술 발전으로 새롭고 복잡한 보안 환경이 대두되고 있는 만큼, 정부는 이에 발맞춘 제도 마련에 나섭니다. 금융·공공기관 등이 소비자에게 설치를 강요하는 보안 소프트웨어를 단계적으로 제한하는 대신 다중 인증, AI기반 이상 탐지 시스템 등의 활용을 통해 보안을 강화합니다. 물리적 망분리를 데이터 보안 중심으로 전환하고 클라우드 보안 요건 개선 등 민간 사업자의 공공 진출 요건 완화가 추진될 예정입니다. 또한, 공공분야에 사용되는 IT 시스템·제품에 대해 SW 구성요소(SBOM)의 제출을 27년도까지 제도화하고 보안 문제가 발견된 IT 제품은 공공 조달 도입 제한을 추진하며 산업용·생활용 IT 제품군에 대한 보안 평가 공개 등을 추진합니다.
☑️ 차세대 보안 기업 연 30곳 육성 및 보안 인력 양성 추진
AI 3대 강국을 뒷받침할 보안산업 육성을 위해 차세대 보안 기업 30개를 집중 육성하고, 보안 산업의 저변 확대를 위해 정보보호 서비스의 범위를 현행 보안컨설팅· 관제 전문기업에서 AI 보안·SW공급망보안 등 관련 전문 기업으로 확대합니다. 또한, 화이트해커를 연간 500명 양성하는 등 보안 인력 양성을 추진하며, 신기술 모빌리티의 안전한 활용을 위한 보안 체크리스트 및 가이드라인도 수립할 예정입니다.
|
📌이렇게 대응할 수 있어요! ✅ 보안을 비용이 아닌 ‘투자’로 인식 전환 & 보안 적용을 통한 위협 예방 |
4. 범국가적 사이버안보 협력 강화
☑️ 주요 통신기반 시설 지정 확대 및 범국가적 사이버안보 협력 체계 강화
국가 핵심 인프라인 주요정보통신기반시설을 범부처 위원회인 정보통신기반시설보호위원회(위원장 : 국조실장)를 통해 지정을 확대해 나가고, 기반시설의 사고 원인 조사 단계에서는 침해사고대책본부를 활성화합니다. 또한, 부처별로 파편화된 해킹 사고조사 과정을 One-Stop 신고체계 도입 등으로 체계화하여 현장 혼선을 최소화하고 국가사이버위기관리단과 정부 부처 간의 사이버 위협 예방 및 대응 협력을 강화할 계획입니다.
사이버 보안이 국가적 관심사로 부상한 지금, 보안을 ‘일회성 점검’이 아닌 지속적 관리 체계로 전환해야 할 시점입니다. 이번 종합대책에 발맞춰 기업 및 기관에서는 보안 취약점 점검 체계를 구축하고 SBOM을 생성해 지속 관리할 필요가 있습니다. 애플리케이션 보안 전문 기업인 스패로우는 Sparrow Enterprise를 통해 소스 코드·오픈소스·웹 취약점을 하나의 플랫폼에서 분석 및 관리할 수 있는 애플리케이션 보안 테스팅 환경을 제공해 상시 보안 취약점 점검 체계 구축을 지원합니다. 사용 중인 오픈소스 소프트웨어 식별부터 국내외 주요 컴플라이언스 기반의 취약점 진단, 통합 자산 관리, SBOM 생성까지 SW 안전 확보가 가능한 다양한 기능을 활용해 이번 대책에 발빠르게 대응하세요!
[참고문헌]
1. 범부처 정보보호 대책 발표…해킹 정황 시 기업 신고 없어도 조사 / 대한민국 정책브리핑 / https://www.korea.kr/news/policyNewsView.do?newsId=148952831
개인정보 침해신고센터: (국번없이)118 (privacy.kisa.or.kr)