과학기술정보통신부와 기획재정부·금융위원회·행정안전부·국가정보원 등 관계부처는 급증하는 해킹사고에 대응키 위해 22일 정부서울청사에서 범부처 정보보호 종합대책을 발표했다.

정부는 향후 해킹 지연 신고, 재발 방지 대책 미이행, 개인·신용 정보 반복 유출 등 보안 의무 위반 주체에 대해 과태료·과징금 상향, 이행강제금 및 징벌적 과징금 도입 등 제재를 강화키로 했다. 최고 매출 3% 수준의 과징금을 최대 10%까지 확대하는 방안도 검토한다.

정부는 공공·금융·통신 등 1600여개 IT 시스템에 대해 점검에 착수, 특히 2차 피해 우려가 큰 통신사에 대해서는 실제 해킹방식의 불시 점검을 추진키로 했다. 그 외의 기업들은 자체 점검 결과를 기업 최고경영자(CEO) 확인 후 정부에 먼저 제출토록 한다.

최근 무단 소액결제에 사용된 초소형 기지국(펨토셀)의 경우 안정성이 확보되지 않으면 즉시 폐기키로 했다.

정보보호 공시 의무 기업이 내년 상반기부터 상장사 전체로 확대됨에 따라 의무 대상은 현행 666개에서 2700여개로 늘어나게 됐다. 정부는 공시 결과를 토대로 보안 역량 수준을 등급화해 공개하기로 했다.

유명무실하다는 비판을 받아온 보안 인증 제도(ISMS·ISMS-P)는 현장 심사 중심으로 바꿔 중대결함 발생시 인증 취소 등 사후 관리를 강화키로 했다.

또 CEO의 보안책임 원칙을 법령상 명문화해 심대한 정보유출 사고의 경우 CEO 해임요구도 가능토록 한다는 설명이다.

신진창 금융위 사무처장은 이날 브리핑에서 “금융사 지배구조법은 금융사 CEO, 정보보호책임자 등 임원들이 해야 할 일을 책무구조도에 작성하고, 평상시 정보 보호를 위해 어떤 권한과 책임을 갖고 있는지 설명한 뒤 금융위에 제출하게 돼있다”며 “지배구조법에 따르면 사안에 따라서는 CEO 해임까지도 이뤄지는 징계가 법적으로 가능하다”고 말했다.

이재걸·고성수 기자 claritas@naeil.com