“국내 대기업 연이은 해킹 피해…협력사 통해 내부망까지 침투”
“공공기관·금융사 잇단 정보유출, 보안 경계 흐려졌다”
최근 연이은 해킹 사고로 국가적 차원의 정보보호 대책이 시급하다는 목소리가 커지고 있습니다. 정부는 이러한 상황을 심각한 위기로 인식하고, 과학기술정보통신부(이하 과기정통부)를 중심으로 ‘범부처 정보보호 종합대책’을 발표했습니다. 이번 대책은 공공과 민간의 경계를 넘어, 보안을 위한 예방과 대응 역량을 중장기적으로 강화하겠다는 방향성을 담고 있습니다.
종합대책의 핵심은 해킹 사고의 근본적 재발 방지를 목표로 IT 시스템 전수 점검, 소비자 중심 피해 구제, 정보보호 기반 강화, 사이버안보 협력 강화의 4대 축으로 구성됐습니다. 특히 기존의 사후 대응 중심 체계에서 벗어나 데이터 흐름 전 과정에서 위험을 감지하고 통제하는 선제적 보안 체계로 전환하겠다는 강한 의지가 엿보이는데요. 오늘은 정부가 발표한 ‘범부처 정보보호 종합대책’의 주요 내용을 함께 알아보겠습니다.
1) 강화된 정보보호 관리체계 구축 — 핵심 IT 시스템 전수 점검
- 공공·금융·통신 등 1,600여 개 생활 밀접 IT 시스템 전면 점검 추진
- ISMS/ISMS-P 현장 중심 심사로 전환, 중대한 결함 시 인증 취소
- 통신사 대상 불시 점검 및 주요 IT 자산 식별·관리체계 구축
- 모의해킹, 화이트해커 상시 활용으로 취약점 점검 체계화
방향 1의 조치는 일회성 점검에서 벗어나 지속적인 관제와 선제적 탐지로 중심을 옮기겠다는 의미로 해석됩니다. 형식적인 인증보다 현장의 실효성을 강화해 위험을 빠르게 찾아내고 바로잡는 구조로 변화하는 거죠. 특히 통신사 불시 점검과 자산 관리 의무화는 가시성 확보 → 상시 점검 → 즉시 보완의 흐름을 구축해, 보안을 상시 운영 체계로 끌어올리려는 것으로 보입니다.
2) 소비자 중심 사고 대응 — 피해를 줄이는 복원력 강화
- 개인정보 유출 시 피해자 입증 부담 완화, 정부의 현장 조사 권한 강화
- 지연 신고·재발 방지 미이행 등 위반 시 과징금·이행강제금 상향
- AI 기반 포렌식실 구축으로 사고 분석 기간 단축 (14일 → 5일)
- 피해자 지원 기금 신설 검토, 이용자 보호 매뉴얼 마련
방향 2는 사고 이후의 제재보다 피해 확산을 최소화하는 구조적 대응력을 강화하는 데 초점을 두고 있습니다. 피해자가 직접 입증해야 했던 기존 방식에서 벗어나, 정부가 개입해 사고 원인을 규명하고 복구 절차를 지원할 수 있도록 바뀐 거죠. 여기에 AI 기반 포렌식 기술을 더해 사고 분석과 대응 속도를 끌어올리며, 결과적으로 사고 이후의 혼란을 줄이고 신뢰 회복 속도를 높이려는 움직임으로 볼 수 있습니다.
해킹 피해 예방을 위한 관리 및 대응 체계 구축
3-1) 국가적 정보보호 기반 강화 — ‘비용’에서 ‘경쟁력’으로
- 상장사 전체로 정보보호 공시 의무 확대, 결과를 기반으로 보안 역량 등급화
- CEO 보안 책임 명문화, CISO 권한 강화 및 이사회 정기 보고 의무화
- 공공기관의 정보보호 예산·인력 기준 상향, 경영평가 반영 강화
- 중소기업 지원센터 확대(10→16개소) 등 현장 밀착형 지원 강화
방향 3은 보안을 더 이상 비용이 아닌 기업의 신뢰와 경쟁력을 가늠하는 지표로 전환하겠다는 방향을 담고 있습니다. 특히 상장사 전반으로 공시 의무가 확대되면서, 보안 수준이 투자자와 시장의 평가 요소로 작용하게 됩니다. 공공기관 역시 예산과 인력 확보 기준이 강화돼, 보안이 단순한 관리 항목이 아니라 조직 운영의 핵심 역량으로 자리 잡을 전망입니다.
3-2) 국가적 정보보호 기반 강화 — 글로벌 기준에 맞춘 생태계 전환
- 물리적 망분리 정책을 데이터 보안 중심으로 전환, 클라우드 보안 요건 개선
- SW 구성요소(SBOM) 제출을 의무화, 취약 평가 시 공공 조달 제한
- AI 보안 플랫폼·화이트해커·양자내성암호 등 차세대 보안 기술 육성
- 금융·공공기관의 보안 SW 설치 의무 완화, 다중 인증(MFA) 및 AI 이상 탐지 확대
이와 함께 정부는 변화하는 기술 환경에 맞춰 보안의 기준 자체를 새로 정립하려는 움직임을 보이고 있습니다. 물리적 망분리 중심 정책을 ‘데이터 중심’ 보안으로 전환해, 클라우드·AI 확산 흐름에 맞는 유연한 보안 체계를 구축합니다. 2026년부터 망분리 개선과 함께 클라우드 보안 요건 완화, SW 구성요소(SBOM) 제출 의무화, 공공 조달 제한 등으로 보안의 기준을 개발 단계부터 강화할 예정입니다. 결국 정부가 지향하는 방향은 기술 혁신과 보안이 충돌하지 않고 함께 성장할 수 있는 ‘데이터 중심 보안 생태계’의 구축이라 할 수 있겠습니다.
정보보호 기반 자체를 강화할 수 있는 데이터 중심 보안
4) 범국가적 사이버안보 협력 강화
- 주요 정보통신기반시설 지정 확대
- 침해사고대책본부 활성화로 사고 원인 조사 및 대응 단계 통합
- One-Stop 신고 체계 도입, 조사 단계별 역할 조정 및 정보 공유 강화
- 민·관·군 합동 협력체계 구축으로 국가 전체의 통합 대응력 강화
방향 4는 개별 기관 중심의 대응을 넘어, 국가 단위의 통합 방어 체계를 구축하겠다는 의지를 담고 있습니다. 정부는 사고 발생 시 부처 간 혼선을 줄이기 위해 신고·조사·대응 절차를 하나의 흐름으로 묶고, 국가사이버위기관리단을 중심으로 협력 체계를 강화할 것이라 발표했습니다. 이를 통해 해킹 사고를 보다 빠르게 감지하고 대응하는 한편, 공공과 민간, 군이 함께 움직이는 범국가적 사이버안보 네트워크로 발전시킬 계획으로 보입니다.
변화하는 환경에서는 보안 상태 점검이 필수입니다!
이번 범부처 정보보호 종합대책은 단순한 제도 변화가 아니라, 국가 전체의 보안 인식이 바뀌는 전환점입니다. 공공과 민간 모두 새로운 보안 체계의 변화 속에서 방향을 다시 정비해야 하는 시점인데요. 정부가 제시한 방향처럼 보안을 경쟁력으로 전환하기 위해서는, 지금이 바로 내부 보안 체계를 점검하고 강화해야 할 때입니다.
이 변화에 대응하는 첫걸음은 현재의 보안 상태를 정확히 진단하고 개선하는 것입니다. 어떤 부분이 부족한지, 무엇을 우선 해결해야 하는지를 파악하는 과정이 앞으로의 대응력을 결정합니다.
새롭게 강화되는 국가 보안 정책과 산업별 대응 방향이 고민이 있으시다면, 언제든 파수를 찾아주세요. 변화하는 환경 속에서 귀 기관에 가장 적합한 데이터 중심 보안 전략을 함께 설계해 드리겠습니다!
