정부, 공공·민간 아우르는 전방위 보안 대응 본격화

/사진=뉴스1

<이미지를 클릭하시면 크게 보실 수 있습니다>

정부가 이동통신 3사를 대상으로 해킹 취약점에 대한 불시 점검에 나서며 민간·공공 전반의 대규모 보안 실태 점검이 본격화됐다. 올해 SK텔레콤·KT 등 기간통신사업자를 비롯해 롯데카드·SGI서울보증·예스24 등 민간 기업들과 '온나라시스템' 등 다수 공공 시스템까지 해킹에 뚫리면서 보안 수준을 대폭 높여야 한다는 경각심이 높아진 데 따른 것이다.

━
3만여 기업 보안점검에 보안공시 의무화 대폭 확대
━
과학기술정보통신부는 지난 9월 하순 CISO(최고정보보호책임자) 조직을 운영하는 전국 3만여 기업을 대상으로 'CISO 기업 대상 긴급 보안점검 실시 및 결과 회신 요청'이라는 제목의 공문을 일괄 발송했다. 각 기업이 운용하고 있는 서버 등 IT 자산 및 인터넷망과 연결된 자산의 취약점을 점검하고 백업 전환 훈련 실시 등 보안 항목을 점검한 뒤 CEO(최고경영자)에게 서명을 받아서 보고서를 제출하라는 것이었다.

이미 일부 대기업은 점검을 완료했다. 중견·중소기업은 연내 점검을 마친 뒤 과기정통부에 결과를 제출해야 한다.

개인정보보호위원회도 최근 ISMS-P(정보보호 및 개인정보보호 관리체계 통합 인증)를 보유한 약 1300개 기업에 대해 특별 사후 점검 요청 공문을 발송했다. 일부 인증 기업에서 해킹 사고가 잇따르며 'ISMS-P 무용론'이 제기되자, 인증 자체뿐만 아니라 실질적 보안 운영 실태까지 확인하겠다는 조치로 해석된다.

아울러 정보보호 공시 적용 기업·기관도 대폭 확대된다. 지난 달 발표된 '범부처 정보보호 종합대책'에 따르면 현재 660여 기업·기관에 국한된 정보보호 공시 의무화 기업·기관을 전체 상장사 2700여곳으로 확대한다.

현재 '정보보호산업의 진흥에 관한 법률'과 그 시행령은 △기간통신사업자 △집적정보통신시설 △상급 종합병원 △클라우드 인프라 사업자 △매출 3000억원 이상 코스피·코스닥 상장사 △일평균 이용자 100만명 이상인 정보통신서비스 운영기관 등에 한해 정보보호 공시를 의무화하고 있다. 정보보호 공시의 의무화 대상을 대폭 늘리고 해당 기업의 정보보호 체계 수준을 공개해 보안을 '비용'이 아닌 '필수 투자'로 인식하도록 유도하겠다는 것이다.

━
공공 440곳, 금융 261곳 등 1600곳 보안점검도
━
이번 이통 3사를 대상으로 한 불시 모의 해킹과 별도로 전국 1600여 IT 시스템에 대한 보안 취약점 점검도 진행된다. 앞서 정부는 지난 10월 범부처 정보보호 종합대책을 통해 △공공기관 기반시설 288개 △중앙·지방 행정기관 152개 △금융업 261개 △통신·플랫폼 등 ISMS(정보보호관리체계) 인증기업 949개 등 1600여 시스템을 대상으로 지목한 바 있다.

전문가들은 이 같은 조치가 일회성 대응에 그치지 않고, 디지털 대전환 시대에 맞춘 보안 체계의 구조적 전환이라는 점에서 의미가 크다고 보고 있다. 한 보안 업계 관계자는 "정부가 단순한 지침 수준을 넘어서 실제 점검, 보고, 공시까지 요구하면서 보안이 기업 경영의 핵심 요소로 올라섰다"면서 "'보안은 비용이 아니라 기업 생존을 좌우하는 투자'라는 메시지를 시장에 던진 조치다. 업계 전반의 인식 변화도 가속화될 것"이라고 말했다.

김승한 기자 winone@mt.co.kr

Copyright ⓒ 머니투데이 & mt.co.kr. 무단 전재 및 재배포, AI학습 이용 금지.