![[서울=뉴시스] 추상철 기자 = 배경훈 부총리 겸 과학기술정보통신부 장관이 22일 오후 서울 종로구 정부서울청사에서 열린 '범부처 정보보호 종합대책' 합동브리핑에 참석하고 있다. 2025.10.22. /사진=추상철](https://thumb.mt.co.kr/cdn-cgi/image/f=avif/21/2025/10/2025102216184121535_1.jpg)
국민 대다수가 이용하는 공공·금융·통신 등 1600여 IT 시스템에 대한 대대적 보안 점검이 실시된다. 전체 상장사 대상으로 정보보호 공시를 의무화하고 보안 역량 수준을 등급화해서 공개하는 제도도 내년 상반기 도입된다.
22일 국가안보실, 과학기술정보통신부, 금융위원회, 개인정보보호위원회, 국가정보원, 행정안전부 등 관계 부처 합동으로 내놓은 '범정부 정보보호 종합대책'은 올해 들어 행안부 공무원 업무 시스템 '온나라' 등 정부·공공 시스템 뿐 아니라 SK텔레콤, KT, 롯데카드 등 통신·금융 부문에서 대규모 정보유출 사고가 잇따른 데 대한 대책이다.
우선 국민 대다수가 이용하는 공공·통신·금융 등 1600여 시스템에 대한 일제 보안 취약점 점검이 진행된다. 여기에는 공공기관 기반시설 288개와 중앙·지방 행정기관 152개, 금융사 261개, 통신·플랫폼 등 ISMS(정보보호관리체계) 인증기업 949개 등이 포함된다. 이와 별도로 과기정통부는 CISO(최고정보보호책임자)를 지정·운영 중인 전국 3만여 기업에 자체 보안 취약점 점검을 실시해 결과를 보고할 것을 통보한 바 있다.
특히 이동통신 3개사에 대해서는 실제 해킹 방식의 강도 높은 불시 점검을 추진하고 주요 IT 자산에 대한 식별·관리체계를 구축토록 했다. KT의 무단 소액결제 및 개인정보 유출사태를 초래한 펨토셀(소형 기지국)은 안전성이 확보되지 않을 경우 즉시 폐기토록 할 예정이다. 미리 확인된 장비만 주요 네트워크에 접속할 수 있도록 하는 방안도 바로 추진된다.
해킹 정황이 확인된 경우 기업의 신고가 없이도 정부가 신속히 현장 조사에 착수할 수 있도록 하는 법안은 이미 국회에 발의돼 입법 절차가 진행되고 있다. 해킹 지연신고, 자료 은폐, 개인·신용정보 반복 유출 등 보안 의무 위반 정도가 클 경우 전체 매출의 3%까지 과징금을 상향할 수 있는 법적 근거를 마련하는 작업도 진행중이다.
정보보호 공시 의무기업은 내년 상반기부터 전체 상장사 2700여곳으로 확대한다. 현재는 △ISP(인터넷서비스제공사) △IDC(인터넷데이터센터) △상급종합병원 △IaaS(서비스형 인프라) 등 기업과 △전년도 매출액 3000억원 이상 기업 또는 일평균 이용자 수 100만명 이상인 기업 등 666개사가 의무대상이다. 정부는 정보보호 공시 결과를 토대로 보안역량 수준을 등급화해 이를 공개하는 제도도 도입한다.
1600여 공공·통신·금융 등 시스템에 대한 조사 결과는 연내 발표할 '국가 사이버안보 전략'에 반영될 예정이다. 보안 거버넌스 개선에 대한 내용도 국가 사이버안보 전략에 포함된다. 현재 국가·공공 분야의 침해사고에 대해서는 국정원이, 민간 부문 사고에 대해서는 과기정통부가 각각 총괄하는 등 보안 관련 거버넌스(의사결정 체계)의 이원화도 문제로 지적된 바 있다.
정부의 보안 투자도 강화한다. 현재는 정부의 정보보호 투자를 정보화 예산의 15% 이상으로 권고하는 수준이다. 이를 내년 1분기 중 일정 수준 이상으로 끌어올리겠다는 것이다. 배경훈 부총리 겸 과기정통부 장관은 "정부도 해킹 이슈에서 자유롭지 않다는 것을 인정한다"며 "정부도 올해 대비 7.7% 늘어난 4012억원을 정보보호에 투자할 것"이라고 했다.