[디지털데일리 김보민기자] "정부는 최근 발생한 해킹 사고에 대한 책임을 부인할 수 없습니다. 향후 정보보호에 대한 이슈가 계속 일어날 전망인 만큼 정부도 책임감을 가지고 문제점을 보완하겠습니다."

배경훈 부총리 겸 과학기술정보통신부 장관은 22일 서울 종로구 정부서울청사에서 브리핑을 열고 이렇게 밝혔다. 올해 SK텔레콤·KT 등 통신사뿐만 아니라 금융사와 정부기관에서 연이어 보안사고가 발생한 것에 책임을 느끼고 있다는 취지였다.

정부는 이날 단기적 추진방향을 담은 범부처 정보보호 종합대책을 발표했다. 여기에는 공공·금융·통신 등 정보기술(IT) 시스템 1600여개를 대상으로 보안 취약점 점검을 실시하고 반복적으로 사고를 낸 기업에게 징벌적 과징금을 부과하는 내용이 담겼다. 보안사고가 발생한 기업이 신고를 하지 않더라도 정부 차원의 직권 조사도 가능해진다. 정보보호 공시 의무 기업을 상장사 전체로 확대하는 방안도 추진한다.

다만 보안 투자를 유도할 인센티브 제도와 중장기적인 계획은 이번 종합대책에 포함되지 않았다. 이와 관련해 배 부총리는 "12월 안으로 국가사이버안보전략계획을 수립하고 발표하겠다"고 예고했다. 여기에는 사고 예방과 보안 거버넌스 체계에 대한 중장기 전략이 담길 전망이다.

국가정보원은 미국 보안전문지 '프랙'이 입수한 정보를 사전에 얻지 못했다는 비판에 대해 "사이버위협인텔리전스(CTI) 도구가 미흡했다는 점을 인정한다"고 답했다. 국정원은 인공지능(AI) 기술 기반 차세대 사고·조사 도구를 관련 부처에 정식 배포해 대응 역량을 높이도록 지원할 방침이다.

금융당국은 롯데카드 사고를 계기로 금융권 보안체계를 재점검하겠다고 밝혔다. 그간 중복규제를 이유로 정보보호 공시 의무대상에 금융사가 포함돼 있지 않았지만, 상장하지 않은 소형금융회사까지 보안투자 공시를 이행하도록 법안을 발의할 계획이다.

다음은 배경훈 부총리, 류제명 과기정통부 2차관, 김창섭 국정원 3차장, 이용석 행안부 디지털정부혁신실장, 신진창 금융위 사무처장, 이정렬 개인정보위 사무처장과의 일문일답 일부.

Q. 징벌적 과징금은 어떤 방식으로 부과되나.

A. (배경훈 부총리) 개인정보와 금융과 관련된 이슈의 경우 전체 매출액 3%를 과징금으로 부과할 수 있다. 정보통신망법 차원에서도 그 정도의 과징금을 부과할 수 있도록 정책 연구를 진행하고 있다. 영국의 경우 정보보호 이슈가 있을 때 관련 매출의 10%를 부과한 사례가 있다. 종합적인 해외 사례와 정책 연구를 통해 적절한 징벌적 과징금 범위와 강도를 정하겠다.

(신진창 금융위 사무처장) 금융위 소관 신용정보법을 보면 정보 유출에 따른 피해를 피해자가 입증하는 것이 아닌 과실 여부를 금융회사가 입증하도록 전환돼 있다. 손해배상액을 다섯 배까지 올리는 징벌적 손해배상제도도 현행 법에 포함돼 있다. 전자금융거래법에 과징금 제도가 매출액 3% 등 사안별로 분류돼 있는데, 전반적으로 수준을 높이려는 계획을 갖고 있다. 징벌적 과징금 제도를 도입하는 입법 조치는 전자금융거래법 개정이 필요하다. 개정안은 조만간 발의해 이번 정기 국회에 논의될 수 있도록 하겠다.

Q. 징벌적 과징금과 같이 '처벌'에 집중한 대책만 꾸린 것 아닌가. 인센티브 제도에 대한 고려사항은.

A. (배경훈 부총리) 적극적으로 보안에 투자하는 기업에게 인센티브를 제공하는 방안을 만들겠다. 세제 지원 등에 대한 방법은 추후 종합대책을 고도화할 때 추가적으로 논의하겠다. 지금은 사전예방을 고민하는 것도 중요하지만 현재 이슈를 막기 위해 어떤 작업이 필요한지 고민할 때다. 필요한 점은 단계적으로 파악해 인센티브 방안을 포함해 발표하겠다.

Q. 해외 기업의 경우 과징금을 산정할 때 기준점인 매출을 파악하기 어렵다는 이야기도 나온다. 해외 기업에 대한 강제성 등을 고려하고 있나.

A. (이정렬 개인정보위 사무처장) 구글·메타를 대상으로 1000억원 상당(의 과징금)을 의결하고 처벌하고 의결한 사례가 있다. 이처럼 해외기업에게도 동일한 기준이 적용된다. 관련해서 최근 해외사업자에 대한 안내서를 발간해 설명도 했다. 개인정보보호법에 해당하는 기준을 어길 때 엄정히 처벌해야 한다고 본다.

Q. 그간 모의해킹과 같이 많은 대책이 있었지만 해킹 사고가 연이어 발생했다. 이전 대책에서 부족한 점은 무엇이었나.

A. (류제명 과기정통부 2차관) 과거에는 사고가 발생한 서버를 위주로 침투 경로를 파악하는 (사후대응적인) 접근 방법을 활용했다. 1600여개 시스템을 점검하겠다는 계획은 모든 인터넷 연결 지점에 침투 가능성이 있다는 전제를 깔겠다는 것과 같다.

(배경훈 부총리) 기존에는 해킹과 같은 보안 사고가 발생하면 (기업이나 기관이) 신고를 하지 않을 경우 조사를 할 수 없었다. 정보보호 평가를 받고 투자와 인력에 대해 의무공시를 하는 것도 큰 차이점이다. 투자를 늘려 안전한 정보보호 체계를 만들고 소비자가 안심하고 서비스와 제품을 이용하도록 하겠다.

Q. 보안사고에 대한 신고 체계를 통합할 필요성도 제기된다. 원스톱 신고체계는 어떻게 꾸릴 예정인가.

(배경훈 부총리) 현재 기업별로 통신사, 플랫폼, 금융 등 (신고 체계에 대한) 채널이 명확하게 구분돼 있다. 신고 과정에서 불편함이 없도록 원스톱 신고체계를 갖춰나가도록 하겠다.

Q. 그간 금융사는 중복규제를 이유로 정보보호 공시 의무 대상이 아니었다. 이번 대책을 통해 전체 상장사가 공시 의무 대상이 됐는데, 금융사도 포함되나.

A. (신진창 금융위 사무처장) 금융회사 중에도 상장을 완료한 곳이 많다. 그러나 소형금융회사는 상장돼 있지 않다. 금융권은 대귝민 금융서비스에 보안이 직결된 만큼 전자금융거래법 개정 작업에 공시 대상을 비상장회사까지 포함하는 법안을 발의할 예정이다.

(배경훈 부총리) 정보보호 공시제도 대상을 확대하는 안은 내년 상반기부터 적용된다.

Q. '프랙'에서 제기한 온나라시스템 해킹이 화두다. 추후 다중인증을 활용하겠다고 밝혔는데, 확대 도입되는 것인가.

A. (이용석 행안부 디지털정부혁신실장) 행정전자서명(GPKI)을 쓰는 경우 패스워드·인증사가 노출됐을 때 발생하는 부작용이 있다. 모바일신분증, 얼굴인증 등 복수 인증체계를 갖추면 한쪽에서 정보를 취득했다하더라도 관련 시스템에 접근하는 것이 불가능해진다. 행안부도 GPKI 같은 공인인증체계와 관련해 안전성을 강화할 부분을 보고 있다. 민간 쪽도 복수인증을 통해 운영하는 시스템을 갖추고 있는 만큼 취약점을 개선하겠다.

Q. 최근 국정원을 대상으로 CTI 역량이 충분하지 않다는 지적이 제기됐다. 추후 고도화 계획이 있나.

A. (김창섭 국정원 3차장) 기존 CTI 도구가 많이 미흡했다는 이야기가 있는데 인정한다. 특히 기존에 알고 있는 취약점 외에 새로운 취약점이 계속 발견되고 있는 점도 사실이다. 늘 뒤따라가면서 사고 조사를 하는 수동적인 방어 패턴에서 일해온 것도 맞다. 해당 부분에 있어 적극적이고 능동적으로 사고에 대응할 수 있게끔 도구를 개선하겠다.

국정원은 차세대 사고·조사 도구를 개발해왔고 올해 6월부터 시범적으로 일부 기관에 활용을 시작했다. 해당 도구는 AI 기능을 탑재해 침해 흔적을 채집하고 취약점을 자동 분석할 수 있다. 곧 정식으로 관련 부처에 배포할 계획이다.

Q. 이번 KT 무단 소액결제 사태의 경우 펨토셀(소형기지국)을 전량 폐기하지 못해 발생한 문제라는 지적도 있다. 펨토셀에 대한 안전성이 확보되지 않을 경우 즉시 폐기하는 조치를 취할 예정인데 가능한가.

A. (류제명 과기정통부 2차관) 펨토셀의 경우 통신3사가 전체적으로 운영하는 것과 장기간 사용하지 않은 것에 대한 현황이 파악돼 있다. 회수하는 문제는 쉽지 않다. 이미 유통되고 장기간 활용하지 않은 것 중에 회수가 이뤄지기 어려운 특수성이 있기 때문이다. 그래서 아이디(ID)가 확인되지 않은 셀이 통신망에 붙을 수 없도록 하는 화이트리스트 체계를 보고 있다. 등록 인증이 된 단말이라도 유효성을 확인하는 작업을 통해 회수되지 않은 장비가 있다 하더라도 망에 붙지 않도록 대응체계를 갖추고 있다.

Q. 기업 최고경영자(CEO)뿐만 아니라 정보보호최고책임자(CISO)와 개인정보보호책임자(CPO) 권한을 강화하고 책임을 명문화하겠다고 밝혔다. 정부시스템도 공격을 당한 만큼 책임이 있다고 생각하지 않는가.

A. (배경훈 부총리) 정부도 해킹 이슈에 자유롭지 않다는 점을 인정한다. 그렇기 때문에 민관과 전문가가 함께 고민해야 하는 상황이다. 정부는 올해보다 7.7% 증가한 4012억원을 정보보호 예산으로 편성하는 등 책임을 다하겠다.

Q. 핵심 IT 시스템에 대해 대대적인 점검을 하겠다고 밝혔는데, 이번 보안점검이 자칫 불법적인 불시 점검이 될 가능성은 없나.

A. (배경훈 부총리) 통신3사 점검의 경우 사전에 동의를 완료해 진행하게 됐다. 불필요한 오해를 없애기 위해 관련 내용도 법제화하겠다. 아울러 화이트해커가 공익적 활동을 할 수 있도록 관련 안도 긍정적으로 검토 중이다. 다양한 모의훈련이나 모의해킹 등 시뮬레이션도 진행하고 있다. 이를 강화할 수 있는 방안을 고민하고 추진하도록 하겠다.

Q. 보안점검 과정에서 문제가 발생하면 과태료나 처벌을 받게 되나.

A. (류제명 과기정통부 2차관) 현재 어느 지점이 취약한지 확인하고 사고를 막는 것이 보안점검을 하는 목적이다. 조사 과정에서 문제점이 발견되면 신고 절차를 통해 공식적으로 조사하는 단계로 전환할 수 있다. 확정된 부분은 없지만, 단계적으로 가겠다. 조사 과정에서 바로 시정해야 하는 부분은 조치가 취해지도록 하겠다.

(배경훈 부총리) 실태파악을 한다고 봐달라. 문제점이 얼마나 드러나는지에 따라 필요한 예산도 확보해야 하고, 심각성에 따라 어떻게 대응할지 계획이 나올 것 같다.

Q. 보안 사고를 종합적으로 관리할 통합 컨트롤타워를 세울 계획은 없나.

A. (배경훈 부총리) 현재 총 컨트롤타워는 국가안보실이다. 그리고 공공으로 특정하면 국가사이버위기관리단이 있고 민간에는 과기정통부가 그 역할을 한다. 그러나 민간과 공공이 협업해야 하는 일도 있다. 이러한 부분에 있어 국정원과 과기정통부가 협업하도록 하겠다.

Q. 정보보호관리체계(ISMS) 제도를 개선하더라도 '체크리스트' 수준에 그치지 말아야 한다는 지적도 있다. 이에 대한 정부의 생각은.

A. (배경훈 부총리) ISMS 프로그램에 실제 심사를 하는 기관은 6곳이 있다. 심사기관들이 각각 기준을 갖고 있는데 CISO 투자 및 시스템 점검 권한 등에 대한 내용이 담겨 있다. ISMS가 실효성 있는 제도로 작동하고 실제 정보보호 수준을 평가할 수 있는 제도로 나아가도록 개선하겠다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -