정부가 잇따르고 있는 통신회사 금융회사 고객정보 침해사고 근절을 위해 사고발생시 사회적 파장에 상응하는 ‘징벌적 과징금’ 을 도입하기로 했다. 또한 해킹정황를 확보한 경우 기업 신고 없이도 정부가 조사할 수 있도록 제도를 개선하기로 했다.과학기술정보통신부와 금융위원회는 19일 오전 합동 브리핑을 통해 이 같은 내용의 해킹사태 대응방향을 발표했다.

민간 분야 정보보안을 관장하는 과기정통부는 현행 보안체계 전반을 재검토해 근본적인 대책을 마련한다는 계획이다.

류제명 과기정통부 2차관은 “최근 국민 생활에 밀접한 통신 금융 등을 대상으로 하는 침해사고로 인해 국민 피해가 계속되고 있는 현 상황을 엄중히 받아들이고 있다”며 “보안 없이는 디지털 전환도 인공지능(AI) 강국도 사상누각”이라고 말했다. 이어 “현행 보안 체계 전반을 원점에서 재검토할 것”이라며 “임시방편적인 사고 대응이 아닌 보다 근본적인 대책을 마련할 계획”이라고 밝혔다.

과기정통부는 우선 기업들이 고의적으로 침해사고 사실을 지연해 신고하거나 신고하지 않을 경우에는 과태로 처분을 강화하기로 했다. 특히 해킹정황을 확보한 경우에는 기업의 신고 없이도 정부가 조사할 수 있도록 제도를 개선하기로 했다.

현행 정보통신망법은 자진 신고가 없는 상태에서는 자료제출 요구 등을 통한 사실 조사와 실태 파악 정도만 가능하도록 규정하고 있다. 이 때문에 기업들이 신고하지 않을 경우 해킹정황을 파악하더라도 신속한 조치를 할 수 없어 ‘늑장 대응’한다는 지적을 받아왔다.

과기정통부는 처벌강화와 함께 기업들이 자발적으로 보안에 대한 투자를 확대해 나갈 수 있도록 제도적인 유인책 마련도 병행한다는 계획이다.

금융권 침해사고 대응을 담당하는 금융위원회는 금융정보 침해사고 위험성을 고려해 엄중한 대책 마련을 추진한다.

우선 금융위는 금융회사 최고경영책임자(CEO) 책임하에 전산시스템과 정보보호 체계 전반에 대한 긴급 점검에 착수한다. 이 과정에서 금융감독원과 금융보안원을 통해 점검결과를 면밀히 지도·감독한다는 계획이다.

금융위는 또 고객정보 침해사고 재발방지를 위한 제도개선을 신속하게 추진키로 했다. 특히 금융회사가 사고에 대한 엄정한 책임을 질 수 있도록 징벌적 과징금을 도입하기로 했다. 금융회사가 상시적으로 보안관리에 신경쓸 수 있도록 하는 대책도 마련한다. 최고보안책임자(CISO) 권한 강화와 소비자 공시 강화 등이 꼽힌다. 여기에 더해 침해사고 발생시 신속한 시스템 복구와 즉시 피해자 구제를 위한 제도개선 과제도 발굴·추진하기로 했다.

권대영 금융위원회 부위원장은 “IT기술 발전 등으로 해킹 기술과 수법이 빠르게 진화하는 반면 금융권 대응은 이를 따라가지 못하고 있다”며 “보안투자를 불필용한 비용이나 부차적 업무로 여기는 안이한 자세가 있는지 냉정하게 돌아봐야 할 시점”이라고 말했다. 이어 “국민들이 금융회사를 신뢰할 수 있도록 보안실태에 대한 밀도있는 점검과 함께 재발방지를 위한 근본적 제도개선에 즉시 착수할 것”이라고 덧붙였다.

한편 과기정통부는 “KT가 외부 전문기업의 보안점검 결과를 통해 추가적인 침해사고가 있었다는 사실을 인지하고 18일 23시 57분에 정부에 신고했다”고 밝혔다. KT는 올해 상반기 SK텔레콤 해킹 사고 발생 이후 진행한 전사 서버에 대한 점검에서 서버 침해 흔적 4건과 의심 정황 2건을 발견했다.

고성수·이경기 기자 ssgo@naeil.com