[일문일답] 정부 "보안 투자 유도…인센티브 방안 마련"

(서울=뉴스1) 나연준 윤주영 기자 = 잇따른 해킹 사고에 대응하기 위해 정부는 조사 권한을 확대하고 해킹 지연 신고, 재발 방지 대책 미이행 등 보안 의무 위반에 징벌적 과징금을 도입하는 등 제재를 강화한다.

이와 함께 정부는 보안에 적극 투자하는 기업에는 인센티브를 제공하는 방안도 마련할 계획이다.

배경훈 부총리 겸 과학기술정보통신부 장관은 22일 정부서울청사에서 진행된 범부처 정보보호 종합 대책 브리핑에서 "징벌적 과징금 관련 제도를 만들겠다는 것보다 보안에 적극적인 투자를 유도하려는 것"이라고 말했다.

다음은 일문일답.

-이번 대책이 이전 대책과 다른 점은?

▶(부총리)신고를 안 하면 조사를 못 했었는데 직권조사를 하겠다는 것이다. 두 번째는 각 기업들이 정보보호 평가를 받고, 투자 인력 등 정보보호 사항 공시를 한다는 것이다. 공시가 되면 기업은 부담이겠지만 투자를 늘려서 안전한 정보보호 체계로 많은 소비자에게 제공하는 신뢰받을 수 있어야 한다.

-1600여개 IT 시스템 점검 어떤 방식으로 진행하나.

▶(부총리)주요기업 900개, 금융기관 260개 등 1600여개 기관을 검수하기 위해서 인력, 역량을 결집 중이다. 1600여개 기관은 단기적 목표를 갖고 시행하는 것이다.

-통신 3사 불시 점검은 어떻게 진행되나?

▶(과기정통부)통신3사는 실전 모의해킹 식이 아니고 운영 중에 실전 침투 테스트를 하려고 한다.

-사이버 안보 통합 컨트롤타워 추진되는 것인가.

▶(부총리)국가안보실이 컨트롤타워고 집행은 국가사이버위기관리단에서 한다. 민간에서는 과기정통부가 역할을 한다. 법제화는 아직 검토 중이다.

-과태료, 과징금 상향 규모는 어느 정도인가.

▶(부총리)현재 개인정보나 금융 관련 이슈에 있어서는 전체 매출의 3% 정도 과징금 부과가 가능하다. 정보통신망법 차원에서도 그 정도의 과징금을 부과하는 것을 정책연구 중이다.

-징벌적 과징금제도는 어떻게 만드나.

▶(부총리)징벌적 과징금은 보안에 적극적인 투자를 유도하려는 취지다. 적극적으로 투자하는 기업에는 인센티브를 제공하는 방안도 마련할 것이다.

▶(과기정통부)징벌적 과징금을 도입할 때 자발적 신고를 한다면 감경사유에 포함하는 방안 등도 검토하겠다.

▶(금융위)징벌적 과징금 상향을 검토 중이다. 현재도 금융회사가 ISMS나 ISMS-P를 인증받으면 과징금 부과에 있어서 감면해 주는 인센티브가 있다.

-금융회사 점검은 어떻게 이루어지나.

▶(금융위)최근 금융권 카드사 정보 유출 있었던 만큼 카드사의 현장점검, 금융보안원 등의 점검을 끝냈다. 260개 금융시스템은 이달 말까지 마칠 예정이다. 제도적으로 피해자들의 손해 보전이나 징벌적 과징 관련해선 정보유출시 그로 인한 피해를 고객이 입증하는 게 아니고 금융회사가 입증하도록 전환되어 있다. 손해 배상액을 5배까지 하는 징벌적 손해배상제도가 현행법에도 있다. 징벌적 과징금 입법조치는 전자금융법 개정이 필요하다.

-민관 가리지 않고 해킹이 발생하고 있다. 정부 책임은 어떻게 지고, 재발방지는 어떻게 할 것인가.

▶(행안부)개인정보 유출 관련해서는 민관을 가리지 않고 똑같이 책임을 진다. 인력 투자를 강화해서 정보보호 전문성을 강화하고, 예산 투자를 통해 정보보호 체계도 기본적으로 개선하겠다.

▶(부총리)ISMS 신뢰도 강화할 것이다. ISMS 인증받고도 해킹이 일어나는 사태가 나오는데 한번 인증받았다고 안전하다고 하지 않겠다. 현장 점검, 사후 관리 측면에서 ISMS를 고도화하고 상시 강화체계로 가겠다.

-정부가 기업에만 제재를 가하는 것이 근본적 대책이 될 수 있나.

▶(부총리)정부도 책임을 부인할 수 없고 해킹 이슈에서 자유롭지 못하다는 것을 인정한다. 이를 해결하기 위해 민관이 같이 고민해야 한다. 정부 내년에 4012억원 정도를 정보보호 투자에 감행할 예정이다. 단기적, 중장기적 계획을 발표해 나갈 예정이다.

-국정원에 사고 조사 도구를 민간에도 공유하겠다고 하는데.

▶(국정원)차세대 사고조사 도구를 개발해서 6월부터 시범적으로 활용하고 있다. 이 도구는 AI 기능을 탑재해서 취약점을 자동분석할 수 있다. 이런 도구들을 국정원이 개발해서 정식으로 관련 부처에 배포할 예정이다.

-이미 유통된 펨토셀의 수거작업은 어떻게 진행되는 것인가.

▶(과기정통부)펨토셀은 지금 통신 3사가 전체적으로 운영하고 있다. 장기간 사용 안 하거나, 인증범위 벗어난 것 등 다 파악돼 있다. 회수되지 않은 장비가 있다면 통신사 망에 붙지 못하다록 조치는 해뒀다.

-글로벌 기업들의 정보보호 공시는 어떻게 생각하나.

▶(부총리)정보보호 공시는 해외 플랫폼 사업자들도 당연히 해야 한다. 국내 상장사뿐 아니라 해외 플랫폼 사업자들에도 동일하게 적용할 수 있도록 하겠다.

yjra@news1.kr