지난해 국내 최대 인터넷 서점 예스24가 해킹당하면서 도서 주문·배송이 중단됐는데, 앞으로는 이런 피해도 분쟁 조정을 신청할 수 있게 된다. 개인정보 유출 이외의 소비자 피해도 구제받을 수 있도록 한다는 방침이다. 또 개인정보 유출 '가능성'만 있어도 소비자에 통지해야 한다.
정부는 28일 정부서울청사에서 제4회 과학기술관계장관회의를 열고 이같은 내용의 '제2차 정보보호 종합대책(안)'을 발표했다. 지난해 10월 발표한 1차 대책에서 이용자 보호 및 기업의 보안 투자 유인 방안을 보완했다.
정부는 개인정보 유출 외 소비자 피해에 대해서도 분쟁조정 제도를 도입하는 정보통신망법 개정안을 올 상반기 발의할 예정이다. 개인정보 유출 가능성이 있는 단계부터 소비자 고지를 의무화하고, 고지 항목에 손해배상 청구 등 구체적인 권리 행사 정보를 추가할 예정이다. 손해배상 판결 효력이 소송 참여자 외 당사자에도 적용되는 미국식 집단소송 제도 도입은 국내 소송제도 전반을 검토한 후 추진한다.
기업의 자율적인 보안 강화도 유도한다. 개인정보보호법상 안전조치 의무 수준을 뛰어넘은 조치를 한 기업은 과징금을 경감할 예정이다. 기업이 화이트해커와 취약점을 신고·조치·공개할 수 있도록 신고 절차, 면책 조건 등 기준을 마련하고, 적극적인 개선 노력에 인센티브 방안을 마련한다. 민·관 사이버 위협 정보 공유시스템을 통해 정보도 신속히 공유할 예정이다.
AI 해킹에 대비해 AI 기반 사이버 위협 탐지·대응 시스템 전환을 추진한다. AI를 도입해 사이버 공격을 탐지·대응한다. AI 모델·서비스의 보안성을 사전 확보하고 상시 관리하는 체계를 구축하고, 보안 취약점을 발굴·분석하는 AI 레드팀을 운영해 모의 침투 테스트를 진행할 예정이다. 데이터 암호화 기술 개발에 대한 투자도 강화한다.
디지털 요소를 포함한 모든 제품에 대한 보안 정책도 마련한다. 중소기업이 제품·서비스에 포함되는 소프트웨어 자재명세서(SBOM)를 생성·관리할 수 있도록 관리체계를 구축한다. SBOM은 소프트웨어의 구성요소와 취약점 정보를 목록화한 문서다. 디지털 요소가 포함된 국가사업은 기획· 과제 선정 단계에서부터 보안 요소를 필수 고려할 예정이다.