정부는 최근에 통신, 금융, 공공의 연이은 보안 사고로 인해서 국민 피해가 계속되고 있는 현 상황을 국가 비상사태에 준하는 위기 상황으로 받아들이고 있습니다.
대통령님께서도 말씀하셨듯이 보안 없이는 디지털 전환도, AI 강국도 사상누각에 불과합니다.
이에 정부는 각계각층의 전문가, 이해관계자들의 의견을 수렴하여 국가안보실을 중심으로 과기정통부, 금융위, 개보위, 국정원, 행안부 등 관계부처 합동 정보보호 종합대책 수립을 하게 되었습니다.
지금부터 범부처 종합 보호 종합대책 주요 내용에 대해서 말씀드리도록 하겠습니다.
우선, 해킹에 대한 국민들의 불안감 해소를 위해 공공·금융·통신 등 국민 대다수가 이용하는 1,600여 개 IT 시스템에 대해서 대대적인 보안 취약점 점검을 추진하겠습니다.
특히, 통신사는 실제 해킹 방식의 강도 높은 불시 점검을 추진하고 주요 IT 자산에 대한 식별·관리체계를 구축하도록 하겠습니다.
점검 과정에서 현재 이슈가 되고 있는 소형기지국 펨토셀은 안정성이 확보되지 않을 경우 즉시 폐기하는 등 보다 엄격하게 조치하겠습니다.
다음으로, 기업의 해킹 피해가 소비자에게 전가되지 않도록 하겠습니다.
기업의 보안 해태로 인한 해킹 발생 시 소비자의 입증 책임 부담을 완화하고 통신·금융 등 주요 분야는 이용자 보호 매뉴얼을 마련하게 하는 등 소비자 중심의 피해구제 체계를 갖추도록 하겠습니다.
그리고 해킹 정황을 확보한 경우에는 기업의 신고 없이도 정부가 신속히 현장 조사를 할 수 있도록 정부의 조사 권한을 강화하고 해킹 사고가 반복되는 기업에게는 강력한 징벌적 과징금 부과를 조치하도록 하겠습니다.
다음으로, 공공·민간 등 국가 전반의 정보보호 기반 강화에도 힘쓰겠습니다.
공공의 정보보호 예산, 인력을 정보화 대비 일정 수준 이상으로 확보하고 정부 정보보호담당관을 기존 국장급에서 실장급으로 상향하는 등 공공부터 정보보호 역량 강화를 위해서 솔선수범하겠습니다.
민간의 경우 보안에 대한 인식을 더 이상 비용이 아닌 기업의 성패를 가르는 필수 투자로 전환할 수 있도록 정보보호 공시 의무 기업을 상장사 전체로 확대함과 동시에 공시 결과를 토대로 보안 역량 수준을 등급화하여 모든 국민들께 투명하게 공개하는 제도를 도입하도록 하겠습니다.
아울러, CEO의 보안책임 원칙을 법령상 명문화하고 보안최고책임자인 CISO, CPO의 권한을 대폭 강화할 계획이며 자체적인 보안 역량이 부족한 중소·영세기업 대상으로는 정보보호지원센터 확대 등을 통한 밀착 보안 지원을 강화하겠습니다.
다음으로 기존 레거시적인 보안 환경에서 과감히 탈피하여 글로벌 변화에 부합하는 보안 환경을 조성하도록 하겠습니다.
금융·공공기관 등이 소비자에게 설치는... 설치를 강요하는 보안 소프트웨어를 단계적으로 제한하는 대신, 다중 인증, AI 기반 탐지시스템 등을 활용해서 보안을 강화하도록 하겠습니다.
그리고 글로벌 보안 환경에 적합하지 않은 획일적인 물리적 망 분리를 데이터 보안 중심으로 신속히 전환하고 소프트웨어 공급망 보안, IT 제품 보안에 대한 제도적 규율을 강화하겠습니다.
다음으로, 국가 사이버안보 주권 확보를 위해 정보보호 산업, 인력, 기술 육성에 총력을 기울이겠습니다.
AI 에이전트 보안 플랫폼 등 차세대 보안 기업을 집중 육성하고 최고 보안 전문가인 화이트해커 양성 체계를 기업 수요로 재설계하는 등 양질의 인재가 적시적소에 배치될 수 있도록 하겠습니다.
이와 함께 다가오는 양자 시대를 대비하기 위해 양자내성암호화 기술 개발 등 국가적 암호체계 전환도 차질 없이 수행하도록 하겠습니다.
마지막으로, 범국가적 사이버안보 협력체계를 강화하겠습니다.
부처별로 파편화된 해킹 사고 조사 과정을 체계화하여 현장의 혼선을 최소화하고 민·관·군 합동 조직인 국가사이버위기관리단과 정부 부처 간의 사이버 위협 예방·대응 협력을 강화하겠습니다.
이번 종합대책은 현 사안의 시급성을 고려하여 즉시 실행할 수 있는 단기 과제 위주로 우선 제시하였습니다. 이후 국가안보실을 중심으로 중장기적 과제를 총망라하는 국가 사이버안보 전략을 연내 수립하고 발표할 예정입니다.
과기정통부는 관계 부... 과기정통부 포함한 관계부처는 이번 종합대책이 현장에서 제대로 작동될 때까지 실행 과정을 면밀히 살펴볼 것이며 부족한 부분을 지속적으로 보완해 나가겠습니다.
앞으로도 정부는 AI 강국을 뒷받침하는 견고한 정보보호 체계 구축을 위해 총력을 기울이도록 하겠습니다.
이상 브리핑 마치겠습니다. 감사합니다.
[질문·답변] ※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.
<질문> 부총리께 질문드립니다. 1,600개를 즉시 점검할 인원과 자원이 가능한지, 혹시 어느 방식으로 어느 정도의 기간 동안 진행하는지 조금만 더 설명 가능하시면 부탁드리겠습니다.
<답변> 1,600여 개 기업·기관이 주요 기업 900개, 기업... 금융기관 260개 등 사실 1,600개 기관을 다 검수하기 위해서 지금 인력과 역량들을 총결집을 하고 있습니다.
다만, 저희가 1,600개에 대해서는 단기적인 어떤 지금 목표를 가지고 지금 시행을 하고 있는 것이고 실제 1,600여 개의 기관 말고도 많이, 저희가 검토를 해야 되는 기관들이 많이 있습니다.
이런 기관들은 저희가 직접 검수하기보다는 저희가 모의훈련이나 화이트해커 등을 통해서 이런 관련된 1,600개 이외의 기관, 시스템들도 점검할 수 있는 전반적인 저희가 대책을 수립할 거고요.
올해, 저회가 이거는 단기적인 어떤 저희가 대책이라고 생각하시면 되고 지금의 이 단기적인 시스템 점검에 대해서는 충분히 저희가 역량을 총결집해서 진행하도록 하겠습니다.
<질문> 이거 아마 과기정통부에서 대답해 주셔야 될 것 같은데 일단 이번 대책이 효과가 얼마나 있을 거라고 생각하시는지, 이번만으로도 충분하다고 보시는지 궁금하고요.
다음 질문이 하나 더 있는데 사이버보안이나 안보나 통합 컨트롤타워 논의 법제화가, 법제화 단계까지 논의됐던 게 수년 전까지 있었는데 이번 대책에도 통합 컨트롤타워 쪽 진행이 추진되는 건지 궁금합니다.
<답변> 지금 법제화는 아직 검토 중입니다. 전반적인 어떤 컨트롤타워는 국가안보실에서 진행할 거고요. 그리고 국정원 산하의 국사단 중심으로 범부처가 공동으로 어떤 대응체계를 갖추고 협력체계를 만들어 갈 겁니다.
그리고 사실 이번 대책으로 인해서, 아까 처음 질문에 말씀드렸는데 저희가 모든 것을 한 번에 해결한다 생각을 갖지 않고 있습니다. 당연히 지금은 단계적인 어떤 대책을 세웠기 때문에 이것, 저희가 지금은 빨리 1,600여 개의 IT 시스템을 저희가 점검하면서 동시에 중장기적인 어떤 계획을 빨리 세워서 저희가 인증제도 그리고 실제로 사고를 예방하고 대응하고 사후 처리할 수 있는 종합적인 어떤 이런 대책에 대해서 저희가 중장기적인 계획을 검토하고 연내 발표할 계획을 가지고 있습니다.
<답변> (류제명 과기정통부 2차관) 제가 좀, 부총리께서 말씀해 주셨습니다만 첫 번째 질문하고도 관련된 사안인데요. 전체적인 점검, 일체 조사, 점검과 관련해서 통신 3사는 실전, 그러니까 모의 해킹 식이 아니라 운영 중에 실전 침투 테스트를 하려고 합니다.
그래서 저희가 통신 3사로부터는 동의를 다 받아 두었고요. 그래서 외부 전문가들, 민관의 전문가들을 활용해서 통신 3사 망에 대해서는 불시 점검 형식으로 일단 조사를, 전면적으로 취약점 분석을 하려고 하고 있고요.
나머지 주요 기업들에 대해서는 지금 기본적으로 먼저 각 기업의 CISO 정보보호최고책임자들한테 저희가 자체 점검을 지금 요청해 두었습니다. 그 자체 점검 결과를 CEO들한테 다 확인을 받아서 정부에 지금 제출하도록 지금 안내해 두었고요. 그 결과를 가지고 저희가 급한 기업들, 중요 기업들부터 사후 점검을 실시하는 방식으로 진행될 것이라는 점을 좀 보충 설명드리겠습니다.
<질문> 답변은 아무래도 부총리님이 하셨으면 좋겠고요. 오늘 발표한 내용들에 보면 단기적인 과제 이런 거라고 말씀하셨지만 예를 들어서 보안인증제도, ISMS 전환이나 강화, 소비자 인증 책임 부담 완화, 정보보호 공시 의무 기업 확대 이런 내용 등은 제도적인 보안이나 절차가 필요해 보이는데 구체적인 시행 방식이나 시기 이런 것에 대해서 설명을 좀 부탁드리겠습니다.
<답변> 지금 시기적인 부분을 말씀드리기에 앞서 법제화하고 있는 부분들도 있고요. 그리고 저희가 법, 법령을 준비해야 되는 부분들도 있습니다. 그래서 그런 부분들은 빠르게 저희가 준비할 수 있도록 정부 부처에서도 국회와 긴밀하게 논의하면서 준비하고 있다, 이렇게 말씀드리고 싶습니다.
<질문> 안녕하세요? 부총리님께 질문하고 싶은데요. 이 자료에 보면 해킹이 수시로 일어난 기업에 대해서 과태료나 과징금 상향 그리고 이행강제금이나 징벌적 과징금 도입 등 이런 제재를 가한다는 내용이 포함돼 있는데요. 이런 상향 규모는 대략 어느 정도가 될지 아니면 이행강제금이나 징벌적 과징금 도입에 대한 기준에 대한 이런 논의가 이루어진 건 있는지 궁금합니다.
<답변> 지금 현재 여기 개보위도 와 계시고 금융위도 와 계시기 때문에 답변을 같이 드릴 예정인데 지금 현재 개인정보나 금융 관련된 어떤 이슈에 있어서는 전체 매출의 한 3%의 과징금을 부과할 수 있습니다.
그래서 지금 정보통신망법 차원에서도 그 정도의 어떤 과징금을 저희가 부과할 수 있는 것들을 검토하게 정책 연구를 진행하고 있고요.
실질적으로 지금 영국에서 보면 이런 정보보호 관련된 이슈가 있을 때 관련 매출의 한 10% 정도를 부과하는 이런 어떤 사례들도 있습니다. 그래서 저희가 종합적인 해외 사례들 그리고 정책 연구 통해서 적절한 어떤 징벌적 과징금에 대한 저희가 전체 범위 그리고 규모, 전체적인 어떤 그 강도를 정해 나갈 예정입니다.
혹시 개보위나 금융위에도, 금융에서 먼저 말씀.
<답변> (신진창 금융위 사무처장) 금융위원회 사무처장입니다. 유관 질문이 있어서 몇 가지 금융 관련 사항 설명드리겠습니다. 첫 번째, 현재 금융회사의 점검과 관련돼서는 앞서 과기부 차관님께서도 비슷한 맥락에서 얘기해 주셨는데 최근에 금융권에 카드사의 정보 유출이 있었던 만큼 카드사에 대한 현장 점검과 금융보안원, 금융감독원의 점검은 끝났고 금융권의 260개 시스템에 대한 점검은 이번 달 말까지 마칠 예정입니다.
그리고 제도적으로 피해자들의 손해보전이나 징벌적 과징금과 관련돼서는 현재 금융위 소관 신용정보법에는 입증 책임이 전환되어 있습니다. 정보가 유출되었을 때 그로 인한 피해를 고객이 입증하는 것이 아니라 고의과실 여부를 지금 금융회사가 입증하도록 전환되어 있는데 그리고 손해의 경우에도 손해배상액을 5배까지 하는 징벌적 손해배상 제도가 현행법에도 있습니다.
그런데 과징금과 관련돼서는 현재 부총리님께서도 말씀하신 것처럼 전자금융거래법의 과징금 제도가 매출액 3% 또는 50억 이렇게 사안별로 분기화되어 있습니다. 그런데 이거를 과징금 수준을 전반적으로 높이려는 계획을 갖고 있고요.
이러한 징벌적 과징금 제도를 도입하는 입법 조치는 전자금융거래법 개정이 필요합니다. 전자금융거래법 개정안은 조만간 발의해서 이번 정기국회에서 논의될 수 있도록 준비하고 있습니다.
<답변> (이정렬 개보위 사무처장) 개인정보보호위원회 사무처장인데요. 지금 부총리님 그리고 금융위도 얘기하셨는데 저희 개인정보보호위원회는 보호법에 지난 2023년도에 이미 법 개정을 해서 기존의 위반행위에 대해서 관련 매출액을 전체 매출액 3%로 상향한 바가 있고 처리자도 이전에 정보통신서비스, 정보처리자로 했던 것을 모든 개인정보처리자 확대를 해서 운영 중입니다.
다만, 이거로 부족하다는 국민들의 의견 그리고 많은 우려들이 있어서 저희 위원회는 별도의 T/F를 만들어서 지난 9월 11일에 SKT 대책을 발표하면서 제도 개선 방안을 발표한 바가 있고 그중에 표현이 징벌적 과징금 부분을 검토한다 했는데 이 부분은 현행 과징금 제도로 부족한 부분이 있는지 이거를 보고 비례해서 가중 처리하는 부분들을 포함해서 검토하려고 하고 공정위나 다른 또 금융위나 이런 데 있는 제도 중에 우리가 도입이 안 된 부분들이 있어요.
예를 들어 동의의결이라든지 유사한 제도들을 우리 대책에 포함할지에 대해서 지난주에 다시 관계 전문가, 학회를 비롯해 전문가들 T/F를 만들었어요. 그래서 조만간 제도 개선 방안을 마련해서, 아마 법령 개정이 필요한 부분이 많을 것 같아요. 연내에 발표할 수 있도록 함께 노력하겠습니다.
<답변> 그리고 정보통신망법 차원에서도 재발 방지책을 불성실하게 이행한 기업에 대해서도 이행강제금 신설을 이미 9월에 저희가 개정안이 발의돼서 지금 시행되고 있습니다.
<질문> 예전, 류제명 차관님께서 답변하셔야 될 것 같은데 예전부터 과기정통부가 사이버안보 대책 방안이라든지 몇 년 전에 또 했었잖아요, 또 모의, 기업 상대로 모의 해킹 같은 것도 많이 했었고. 그럼에도 불구하고 이런 해킹 사태가 계속 일어나고 있는데 그전 대책에서 어떤 점이 부족했는지 그리고 이번 대책은 기존 대책과 무엇이, 왜냐하면 과기정통부가 이런 대책을 내놓는 게 처음이 아니니까.
그래서 예전 대책에서 부족한 점이 무엇이었고 왜 이런 현상이 나타났고 그 이전 대책 대비 지금은 무엇이 강화됐는지를 좀 쉽게 말씀해 주시면 감사하겠습니다.
<답변> (류제명 과기정통부 2차관) 가장 큰 차이라고 보면 저희가 조사 방식에서도 지난 2023년 LG유플러스 개인정보 유출 사고 시 그때 조사와 지금 저희가 하겠다는 방식이나 최근에 하고 있는 거는 사고 난 서버 위주로 침투 후 경로를 파악한다거나 이런 접근 방법을 했었는데 지금 전수조사, 일체 점검을 하겠다는 그 접근 방법도 통신 3사들에 대한 불시 자산에 대한 점검도 이제 모든 연결 지점, 인터넷 연결 지점들이 침투 가능성이 있다는 전제하에 저희가 전면적인 점검을 해 보겠다는 겁니다.
그래서 단적으로 표현하기는 그렇습니다만 지금까지의 대책들이 사고가 생긴 특정 지점을, 문제들을 위주로 국지적인 어떤 대책들, 또 그런 관점에서 보았다면 지금 저희가 부총리님께서도 모두에 말씀하셨듯이 지금 거의 IT 관련된 이런 공격의 양상이나 실제로 벌어지고 있는 것들이 비상사태 수준으로 저희가 인식하고 정부가 이번에는, 지금은 단기적인 대책들입니다만 앞으로 말씀하신 종합대책이 연내까지 하는 그 관점도 지금부터는 전면적으로 지금 우리 시스템들을 점검해 보고, 또 부족한 점들 총체적으로 한 번 좀 정부 차원에서 보완할 점, 또 기업 차원에서 보강할 점 이런 종합적인 접근 방법을 하고 있다는 게 가장 큰 차이일 것 같습니다.
그러니까 지금까지 많은 대책들이 있었습니다만 그런 좀 사고 지점, 사고 난 문제 상황 위주로만 보았던 그런 한계들은 있었던 것 같습니다.
<답변> 제가 좀 보완드리면 일단은 기존에 해킹이나 이런 어떤 사고가 발생하고 신고를 하지 않으면 저희가 조사를 할 수 없었습니다. 그래서 어떤 직권조사를 하겠다, 이게 가장 큰 차이점이라고 할 수 있겠고요.
두 번째로, 각 기업들이 이런 어떤 정보보호 평가를 받고 투자나 인력에 대해서 정보보호 사항에 대해서 의무 공시한다는 것이 큰 차이점이 될 수밖에 없습니다. 이렇게 정보보호 공시를, 그러니까 미국에서 이런 사례들이 많이 있는데 이런 부분들이 공시가 되면 기업들은 굉장히 좀 부담이 될 수도 있습니다.
다만, 투자를 늘려서 이런 정보, 안전한 정보보호체계로 인해서 국민들에게 좀 더 안심하고 많은 소비자들에게 어떤 또 제공하는 서비스나 제품에 대한 신뢰를 받을 수 있는 기회를 삼을 수 있을 거라고 보고 있습니다.
<질문> 질문 기회 주셔서 감사합니다. 대책이 전반적으로 기업에 대한 제재 수위를 높이는 거 위주로 돼 있고 사실 정부 기관도 해킹 피해를 입은 책임으로부터 자유롭지 못한데 행안부 온나라시스템 해킹도 그렇고 프랙매거진 보도에 따르면, 제보에 따르면 외교부 메일도 해킹당한 바가 있고 한데 대책을 보면 정부 같은 경우는, 공공기관 같은 경우는 관련 투자는 늘리겠다고는 돼 있는데 어떻게 책임을 지겠다고는 명시가 딱히 안 돼 있는 것 같거든요. 그래서 형평성 문제가 제기될 수 있을 것 같은데, 해킹은 민관 가리지 않았는데 이에 대해서 어떻게 공공은 재발 방지를 하실 건지 궁금하고요.
그리고 정부 직권조사 같은 경우는 정보통신망법을 뜯어고쳐야 될 문제일 것 같은데 어떤 근거로 하시겠다는 건지 궁금합니다.
<답변> 일단 제가 말씀드릴 수 있는 것부터 먼저 말씀드리면, 그러니까 직권조사는 이미 국회에서 법안 발의가 되어 있습니다. 그래서 지금 절차를 밟고 있고요.
그리고 지금 국정원과 행안부에서도 나와 있습니다. 정부 차원에서의 대응 관점에서 좀, 행안부에서 먼저 말씀 한번 해주시죠.
<답변> (이용석 행안부 디지털정부혁신실장) 개인정보 유출과 관련돼서는 공공과 민간기업 구분이 없습니다. 똑같이 유출에 대한 조사라든지 이유에 따른 여러 가지 징벌적 조항들에 대해 동일한 조건을 받고 있고요.
정보보호, 일반적인 보호와 관련돼서는 부총리께서 발표하신 내용처럼 인력과 조직과 예산 투자들이 상당히 중요한 예방책일 것 같습니다. 그런 부분들을 강화해서 근본적으로는 정보보호에 대한 전문성도 강화하고 관련된 조직체계를 통해서, 또 예산 투자를 통해서 정보보호체계를 강화하는 것이 근본적인 체질 개선 방안이라고 생각하고 있습니다.
<답변> 좀 더 보완해서 말씀드리면 지금 현재 이슈 되고 있는 게 ISMS에 대한 신뢰도 이 부분을 좀 더 강화시킬 거고요. 어떻게 보면 지금 IMS... ISMS를 인증 받고도 해킹이 계속 일어나는 사태들이 발생되고 있는데 한 번 인증 받았다고 해서 이게 안전한 것인가? 이렇게 이제 두지 않겠습니다.
계속해서 어떻게 보면 현장, 현장 점검, 실효성, 사후 관리 측면에서 ISMS를 좀 더 고도화하고 저희가 상시 점검 강화체계로 앞으로 가겠다, 이렇게 좀 보완해서 말씀드리고 싶습니다.
<질문> 안녕하세요? 저는 부총리님과 금융위 그리고 국정원께 또 같이 질문드리고 싶은데요. 징벌적 과징금에 대한 제재안에 대한 이야기는 있는데 사실상 좀 자발적으로 신고도 하고 보안 투자를 하려면 인센티브 전략도 중요하다, 라고 하는데 혹시 이거에 대한 대응책도 있는지 궁금합니다.
그리고 금융사 같은 경우에는 중복 규제를 이유로 정보보호 공시 의무 대상이 아니었는데 이번에 상장사가 공시 의무 대상이 된 만큼 포함된 건지도 궁금합니다.
그리고 마지막으로 국가정보원 쪽에서는 일단 조사와 분석 도구를 민간기업에 공유하겠다, 라고 이야기하셨는데 사실상 프랙 보고서가 모니터링했던 내용을 자체적으로 탐지하려면 위협 인텔리전스 자체를 고도화해야 하는데 이게 좀 미흡했다는 지적이 계속 나오고 있는 것 같습니다. 그래서 혹시 CTI 쪽으로 고도화 계획도 있는지 함께 소개 부탁드립니다.
<답변> 징벌적 과징금 관련돼서 사실 저희가 페널티를 무조건 주기 위한 어떤 제도를 만들겠다, 라기보다도 이런 보안에 대한 적극적인 투자를 유치, 그러니까 좀 유도하려고 하는 것입니다. 그래서 적극적으로 투자하는 기업들에게는 분명히 인센티브를 제공하는 방안을 저희가 만들 겁니다.
<답변> (신진창 금융위 사무처장) 금융위 관련 사항 순서대로 답변드리겠습니다. 먼저, 징벌적 과징금은 상향하는 방안을 검토하고 있다고 앞서 말씀드렸고요. 그 과정에서 저희가 현재도 금융회사가 ISMS나 ISMS-P를 인증 받았으면 저희가 구체적으로 과징금을 부과함에 있어서 과징금을 감면하는 인센티브 기제가 있습니다.
앞으로 실제 과징금을 부과해 나가는 과정에서 인증을 받았거나 매년 하게 되어 있는 취약점 분석 평가 그리고 앞으로 시행하게 될 공시를 충분히 했는지 등도 과징금을 부과하는 구체적인 산정해서 반영해 나갈 것입니다.
두 번째로, 상장사 중심으로 공시를 하는 제도가 새로 도입될 예정인데 금융회사의 경우는 어떠냐? 금융회사의 경우에도 대부분 상장되어 있는 회사가 있습니다. 그런데 또 소형 금융회사의 경우에는 상장되어 있지 않습니다.
그래서 저희 금융권은 특히 보안이 대국민 금융서비스에 직결되는 만큼 전자금융거래법 개정 작업에 이러한 공시 대상을 금융 관련 회사에 있어서는 비상장 회사까지 포함하는 법안을 발의할 예정입니다. 그 정도로 질의하신 거에 대해서 답변드렸습니다.
<답변> (김창섭 국정원 3차장) 국정원 3차장입니다. 아까 질문 주신 새로운, 민간에서도 활용할 수 있는 사고 조사 도구를 배포하는 그것이 언급됐는데요. 저희가 차세대 사고 조사 도구를 개발했습니다. 그래서 올 6월부터 시범적으로 몇 개 기관하고 저희가 지금 활용하고 있는데요.
그 주된 내용은 이 도구는 AI 기능을 탑재해서요. 어떤 침해의 흔적을 비교적 용이하게 채집하고 그다음에 취약점을 자동으로 분석할 수 있는 그러한 도구들로 저희가 개발해서 곧 정식으로 배포할, 관련된 부처에 배포할 예정입니다.
그리고 아까 말씀하신 대로 기존의 어떤 CTI 도구가 많이 미흡했다, 그렇게 말씀하셨는데요. 저도 인정하고요.
그리고 조금 어려운 점이 잘 아시겠지만 취약점에 있어서는 새로운, 기존에 저희가 알고 있는 취약점 이외에도 새로운 취약점들이 지속적으로 계속 발굴, 발견되고 있어서요. 그래서 저희가 늘 뒤따라가면서 사고 조사를 하는 그런 좀 어떻게 보면 수동적인, 수동적인 그런 방어의 패턴에서 그동안 계속 일을 해 왔는데요.
그래서 이런 부분에 있어서 가능하면 저희가 좀 더 적극적으로 좀 더 앞서서 좀 더 능동적으로 사고에 대응할 수 있게끔 그러한 방식으로 도구를 계속 개선하려고 노력하고 있습니다. 그래서 이번에 배포된 거를 봐서 더욱더 개선을, 앞으로도 계속 개선하고 관련 부처나 관련 기관에 배포할 그러한 예정입니다. 이상입니다.
<질문> 아까 부총리님께서 이번에 페널티를 주기 위한 제도를 만들겠다, 라기보다도 보안에 대한 적극적인 투자를 유도하려고 하는 거라고 하시면서 인센티브 줄 거라고 하셨는데 좀 구체적으로, 지금 기업이 정보보호에 투자하는 촉진책으로 보면 지원 성격이 유도책보다는 규제나 규정 성격이 많아 보입니다.
보안 담당자 권한을 확대하는 내용으로 몇 가지 언급돼 있기는 하지만 특히 기업 입장에서 정보보호에 예산을 적극적으로 들이려면 사실상 세제 지원 같은 인센티브가 실질적으로 필요하고 최근에 몇 차례 있었던 CSIO... CISO 간담회에서도 이런 이야기들 많이 나온 걸로 알고 있는데 혹시 이번에 대책 세울 때 관련 논의가 이루어지지는 않았는지 여쭙고 싶습니다.
<답변> 지금 전방위적인 어떤 논의가 이루어지고 있다, 라고 이렇게 보시면 되겠고요. 저희가 세제 지원 이런, 그러니까 인센티브에 대한 방법에 대한 부분들은 저희가 종합대책을 수립할 때 저희가 추가적으로 논의할 수 있겠습니다.
다만, 지금은 어떻게 보면 사전 예방 측면에서도 고민하는 부분도 있겠지만 대응 측면에서, 지금 일어난 어떤 이슈에 대해서 저희가 대응하는 측면도 중요하기 때문에 그 부분에 대해서 적극 대응하고 일단은 근본적으로 우리가 지금의 어떤 이슈들을 우리가 막기 위해서 어떠한 일들이 필요한가? 이런 리스트업을 먼저 하면서 단계적으로 아까 인센티브에 대한 구체적인 방안도 같이 포함해서 발표드리는 게 맞을 것 같습니다.
<질문> 질문 기회 주셔서 감사합니다. 두 가지 질문이 있는데 이번 나온 대책이 아까도 질문이 나왔지만 정부가 사실 책임이 없는, 지금 이 해킹 사태에 대해서 책임을 피해 갈 수 없는 주체임에도 불구하고 기업에게 모든 '정보보호 의무 공시나 투자 금액을 늘려라.'라는, 그러니까 책임을 부여하고 있는 것으로 보이는데 이게 정부가 기업에게만 약간 이런 제재를 가하는 게 근본적인 대책이 될 수 있는지에 대해서 첫 번째 질문드리고 싶고요.
그리고 두 번째는 이게 CEO와 CISO, CPO의 권한을 대폭 강화하고 책임 원칙을 법령상 명문화하겠다, 이렇게 말씀해 주셨는데 이번 KT와 SK텔레콤, 롯데카드와 같이 전 국민적으로 해킹 피해가 확산된 경우 최고 수준으로 CEO를 해임한다거나 이런 것까지도 생각하고 계시는지 궁금합니다.
<답변> 정부가, 정부의 책임이 크다고 생각합니다. 지금 정부의 책임에 대해서 저희가 부인할 수 없고 저희도 이런 해킹 이슈에 대해서 자유롭지 않다는 것도 인정합니다. 이 문제를 해결하기 위해서 아까 민관이 같이 고민해야 되는 상황인 거고요.
저희가 정부 차원에서는 지금의 어떻게 무조건적인 어떤 제재를 통해서 기업을 압박한다기보다도 실제 이 문제를 공동으로 같이, 사실 기업에서도 이 문제를 해결하길 원합니다. 그러기 위해서 기업에서 할 역할이 있고 우리 정부에서 할 역할이 있는 것 같습니다.
그래서 정부에서는 나름의 저희가 책임을 다하고 이 문제를 해결하기 위해서 내년도 예산도 약 한 7.7%, 4,012억 정도로 정보보호 투자를 저희가 감행할 계획입니다. 그만큼 저희가 이 이슈를 어떻게 보면 쉽게 보고 있지 않고 정부도 분명히 책임이 있다, 라고 이렇게 말씀을 드리고 거기에 대해서 그 책임을 다하겠다, 라는 말씀을 드리고 싶습니다. 거기에 대한 대책을 단기적·중장기적으로 세울 거고 발표해 나갈 예정입니다.
각 CISO, CPO 그리고 관련된 CEO 어떤 책임 문제 이렇게 말씀 주셨는데 지금 이렇습니다. 지금 저희가 점검하고 같이 좀 빌드업 해 나가고자 하는 부분들이 과연 각 기업에서도 CEO들이 의사결정권을 가지고 있고, 다만 정보보호에 있어서 CISO, CPO들이 얼마나 권한을 가지고 실제 이런 보안 점검들을 해 나가고 있는 것인가, 이런 투자에 있어서도 필요한 부분의 의사결정을 CPO, CISO 레벨에서 할 수 있는가? 이런 부분도 같이 점검하고 있습니다.
다만, 전체 경영의 의사결정권자인 CEO도 분명히 책임의 어떤 지금, 책임에서 자유롭지 못하기 때문에 CEO가 보안 책임을, 실제로 보안 책임을 갖고 법적으로 가질 수 있도록 법령상 명문화하는 것도 저희가 고민하고 있습니다. 그러면서 보안최고책임자 CISO나 CPO들의 권한을 강화하는 방안을 종합적으로 저희가 세워서 발표드리도록 하겠습니다.
<답변> (신진창 금융위 사무처장) 금융위원회는, 금융기관은 특수성이 있습니다. 그러다 보니까 규제도 일반 회사와 달리 이 부분에 있어서도 규제가 현재 강화되어 있는 것이 있습니다. 금융회사지배구조법은 금융회사의 CEO, 정보보호책임자 등 임원들에 대해서 자기들이 해야 할 일을 책무구조도라고 해서 책무를 description을 하게 되어 있고 그거를 금융위원회에 제출하게 되어 있습니다.
그래서 평상시에 정보보호를 위해서 나는 어떠한 권한과 책임을 갖고 있다. 나는 이러, 이러한 일을 하게 있다, 라고 설명하게 되어 있고요. 그런 책무구조도는 지난, 작년 7월부터 시행되고 있습니다. 그래서 올, 올해 들어서서 특정 카드사의 정보 유출 사고가 있는데 그 부분에 대해서 금융감독원의 검사가 지금 진행 중에 있고 조만간 정리가 될 것입니다.
금융회사지배구조법에 따르면 사안에 따라서는 CEO의 해임까지도 이루어지는 징계도 법적으로 가능합니다. 그런데 구체적으로 CEO가 책임을 지게 되는 것인지 정보보호책임자가 책임을 지게 되는지에 대해서는 구체적으로 검사 결과를 통해서 어떠한 책임이 있는지를 보고 판단해 나갈 계획입니다.
<질문> 대책에서 제도 개선 관련해서 클라우드 보안 요건 개선해서 민간 사업자 진출 요건 완화하겠다, 라고 말씀 주셨는데 혹시 이 부분에는 그럼 해외 클라우드 사업자 진입에 대한 개방도 추진되는 것인지 궁금하고요.
그리고 정보보호 공시 의무 상장사 전체로 진행되는 건 바로 내년부터 진행이 되는 건지 시기만 한 차례 더 여쭙습니다. 감사합니다.
<답변> 정보보호 공시 의무는 내년 상반기부터 시행할 계획을 가지고 있습니다.
그리고 민간 클라우드 도입 관련해서는 국정원에서 말씀 주시는 게 좋을 것 같은데.
<답변> (김창섭 국정원 3차장) 공공 분야에 대해서 민간 클라우드가 뭔가 확대로 진출하는 거에 있어서는요. 사실 지금도, 현재도 제도적으로는 우리가 상중하에서 중 등급, 하 등급에 있어서는 사실 공공 분야에 있어서도 민간 클라우드가 다, 법적으로는 다 진출해 있습니다, 있고요.
그다음에 지금 민간에서의 요구 사항은 잘 알고 있습니다. 그런데 지금 기자님께서 말씀해 주신 대로 이게 자칫 잘못하면 사실 오히려 저희가 외산, 외산 클라우드가 우리 국내에 진출하는 물꼬를 또 열어주는 그런 계기가 될 수도 있어서, 그래서 이 부분은 사실 우리 관련 부처, 그다음에 관련된 기업들하고 이건 긴밀히 협의를 해서 지혜를 모아야 되는 그러한 사항입니다. 그래서 이거는 저희가 계속 지금 아주 중대하게, 중대하게 저희가 긴밀하게 협의 중에 있습니다. 이상입니다.
<질문> 질문 기회 주셔서 감사합니다. 저 좀 보다가 궁금한 게요. 통신사를 불시 해킹해서 점검하겠다고 하셨는데 사실 국내법에서는 본인이 소유하지 않은 서버 등에 들어가는 것은 불법이라 민간 보안 기업들이나 보안 전문가들은 보통 계약을 맺고 사전 동의를 얻은 가운데 모의 해킹을 하거든요.
그런데 보안 점검을 목적으로 한다고 하지만 민간기업 내부를 정부가 마음껏 들여다볼 수 있다고 오해 소지가 생길 수도 있을 것 같습니다. 통신사와 사전에 어떻게 이 문제를 동의하신 후에 진행하신 건지 구체적 내용 궁금하고요.
또 이와 관련해서 사실 그동안 많은 화이트해커들이 프랙 보고서처럼 활동을 할 수 있습니다, 사실은. 그런데 그런 법적인 요건들 때문에 할 수 없었던 거고요. 불법자... 범죄자가 되면 안 되니까요. 그렇다면 정부도 불시 점검을 하신다고 하니까요. 법적으로 이런 부분들을 개정해서 공익적인 이유로 화이트해커들의 활동을 확대하는 방안을 검토하실 의향도 있는지 궁금하고요.
그리고 원스톱 신고체계 관련해서 지금은 기업이 침해 사고를 당하면 KISA에 연락하고 경찰에 연락하고 개인정보위에 연락하고 금융당국에 또 중복적으로 신고해야 되는 경우들이 많아서 불편함을 겪고 있습니다.
지금 원스톱 신고체계를 하신다고 하니 이제 어디에 최초로 신고만 하면 된다, 한 곳에만, 어디에 신고만 하면 그다음에는 좀 편하게 조사만 할 수 있다, 이런 것들이 구체적으로 나왔으면 좋겠는데요. 중복 신고하지 않아도 되는 체계를 어떻게 꾸리실 건지 함께 알려주시면 감사하겠습니다.
<답변> 저희가 동의 없이 이렇게 불법, 저희가 불시에 점검하고 그러지는 않습니다. 통신 3사들하고는 어느 정도 합의하고 동의를 해서 지금 점검을 하고 있는 상황이고요. 그런 것들은 불필요한 오해를 없애기 위해서 법제화해 나가겠다, 이렇게 말씀을 드리고 싶습니다.
그리고 공익적 화이트해커 활동을 적극 활용하는 부분에 있어서도 정부에서 긍정적으로 검토를 하고 있고요. 다양한 어떤 모의훈련이나 모의 해킹 그리고 실전에 방불하는 저희가 통신 3사하고는 사전 동의를 해서 이런 어떤 화이트해커를 통해서 공격도 해보고 여러 가지 저희가 시뮬레이션을 해보고 있습니다. 그런 것들이 저희가 적극적으로 활성화돼야 된다, 라고 생각을 하고 있고 적극적으로 저희가 고민하고 추진하도록 하겠습니다.
그리고 원스톱 체계 신고는 사실은 기업별로 통신사, 플랫폼 그리고 금융위나 나머지 마찬가지겠지만 채널들이 지금은 명확하게 연결... 명확하게 구분되어 있는 것으로 알고 있는데 불편함이 없도록 원스톱 신고체계를 잘 갖추어 나가도록 하겠습니다.
<질문> 아까 류 차관님이 초반에 말씀해 주신 것 연결해서 여쭤보고 싶은데요. 통신 3사 같은 경우에 요새 해킹이 많아서 모의 해킹, 레드팀 같은 걸로 이해를 하고 있는데 이게 금융권도 롯데카드 케이스가 있어서 왜 이 같은 모의 해킹을 안 하는지가 궁금하고요.
또 한 가지는 주요 시설 CISO를 통해서 CEO한테 보고해서 그 결과를 보고한다, 라고 하는데 만약 기업 차원에서 조사가 미흡했을 경우에 그걸 어떻게 검증할 수 있는지, 왜냐하면 정보 공시도 조금 미흡하다는 지적이 있었잖아요. 그래서 주요 기업 1,600여 개 조사할 때 어떻게 그걸 진위를 검증할 건지 그렇게 두 가지가 궁금합니다.
<답변> (류제명 과기정통부 2차관) 통신사들은 잘 아시다시피 상당히 대한민국에서 아마 가장 큰 시스템들을 운영하고 또 전 국민이 의존하는 그런 시스템이기 때문에 아까 부총리께서 말씀하셨습니다만 통신사업자들의 동의를 받았습니다.
아까 최 기자님 우려하시는 그런 망법상 불법의 소지가 있는 그런 지점이라서 통신 3사의 동의 기반으로 지금 불시점검, 그래서 정말 취약점이 없는지, 일단 사전에 계획된 그런 게 아니고 그런 취약점을 한번 전면적으로 한번 찾아보겠다는 동의를 확보한 상태고요.
그런데 금융 관련돼서는 약간 분야의 특수성이 있기 때문에 금융위에서 따로 말씀을 드리실 것 같고요. 드리시면 좋을 것 같고, 사후 검증은 저희가 지금 CISO들 통해서 지금 일단 사전 점검이 불가피하게 지금 자체 점검에 의존할 수밖에 없는데요, 모든 걸 한꺼번에 다 할 역량들이, 그런 지금 상황이 아니기 때문에.
그래서 저희가 CEO 확인까지 받도록 요청한 거는 CEO 책임하에 철저한 조사를 지금 당부드린 거고 그리고 정부로서도 저희가 매년 하는 ISMS 사후 점검들 절차들도 있고 정보통신 기반시설에 대한 점검 절차 이런 것들이 있습니다. 그래서 사후 점검 스케줄을 체계적으로 짜서 사후 점검 시에 정부가 하나하나 점검을 할 계획입니다.
<답변> (신진창 금융위 사무처장) 금융위원회는 전자금융거래법에 따라서 현재 매년 1회 취약점 분석 평가를 받도록 돼 있습니다. 취약점 분석 평가의 수행 주체는 금융보안원이 중심이 되고 있고요. 금융보안원이 이러한 평가를 할 때는 모의 해킹 등도 하고 있습니다.
그리고 좀 다소 생소하실 수도 있는데 '버그 바운티'라고 해서 그걸 또 금융보안원 중심으로 금융회사의 참여를 독려해서 현재 금융회사가 이용하고 있는 서비스와 새로운 신규 서비스, 소프트웨어 간의 어떤 우월성을 경쟁을 하게 하고 더 우월한 걸 나타나게 하면 포상을 하는 제도도 있습니다. 그러니까 그런 취지로 여러 가지 금융 관련 IT 시스템의 취약점을 보완해 나가려는 노력을 계속 하고 있습니다.
<질문> 과기정통부, 부총리님이나 2차관님께 질문드려야 될 것 같습니다. 이 안정성이 확보되지 않은 펨토셀 즉시 폐기 관련해서요. 안정성이 확보되지 않았는데 이미 유통된 펨토셀의 경우에는 정부가 어떻게 수거해서 폐기가 이루어지는 건지 질문을 드리겠습니다.
최근 문제가 된 KT 펨토셀도 결국에는 KT가 전량 폐기를 못 했기 때문에 발생한 문제로 알고 있는데요. 정부가 지금 궁극적으로 실제 운영 중인 펨토셀 규모를 파악을 하신 건지, 기유통된 펨토셀 건에 대한 폐기, 수거 작업이 어떻게 이루어지는 건지 질문드리겠습니다.
<답변> (류제명 과기정통부 2차관) 제가 답변을 드리겠습니다. 펨토셀 관련돼서, 지금 통신 3사가 전체적으로 운영되는 것, 또 장기간 사용되지 않은 상태에 있는 것, 또 인증 범위에서 벗어난 것, 모든 현황들이 지금 파악돼 있고요.
한 가지 회수, 회수하는 문제가 쉽지는 않습니다. 그래서 지금 이미 유통되고 장기간 활용되지 않은 것 중에 회수되지... 회수가 이루어지기 어려운 그런 특수성이 좀 있는데요.
저희가 그래서 통신 3사가 화이트리스트 체계로 등록이 확실히, ID가 확인되지 않는 셀들은 더 이상 망에 붙을 수 없는 그런 화이트리스트 그리고 화이트리스트 이런 등록, 인증이 된 단말들도 유효성을 확인하는 이런 작업들을 통해서 이미 유통돼서 회수되지 않은 장비가 있다 하더라도 더 이상 망에는, 통신 3사 망에는 더 이상 붙을 수 없는 그런 체계는 지금 마련돼 있는 상태라는 점 말씀드리겠습니다.
<질문> ***
<답변> ISMS 프로그램에 실제 심사를 하는 6개 기관이 있습니다. 그런데 저희가 좀 살펴보니까 6개 심사기관들이 각각의 어떤 기준을 갖고 있는데, 예를 들어서 CISO를 두고 CISO가 있느냐, 없느냐, 사실은 그거에 따라서 사실 어떤 평가기준 항목들이 이렇게 있는데요.
사실은 이런 부분까지 봐야 되는 거죠. CISO를 두고 CISO, 실제 CISO가 컨트롤하는 권한이 어디까지고 실제로 투자 권한 그리고 시스템 점검 권한 그리고 전체, 예를 들어서 그 점검 항목들이 100%... 100이라면 100을 CISO, CPO가 다 검증을 할 수 있는 건지 아니면 50%만 검증할 수 있는데 우리가 그거를 CISO가 설립이 돼 있다고 해서 그것들을 100점으로 부여하고 있는 건지, 이런 기준들을 우리가 구체적으로 잡아 보겠다, 라고 말씀드리는 거고요.
그래서 ISMS가 실제적으로 실효성 있게 실제 정보보호에 있어서 ISMS, ISMS-P를 받으면 충분히 이게 어느 정도 사전에 보안 인증이 됐구나 하는 이런 정도 수준으로 저희가 개선을 할 계획을 가지고 있고요.
9월 말 지연 사유에 대해서는, 사실 저희가 계속해서 5개 부처 중심으로, 사실 지금은 통신, 금융, 사실 저희 공공에서도 여러 가지 이슈들이 있었기 때문에 점검해야 될 항목들이 많았습니다.
다만, 지금 국정원, 금융위, 행안부, 개인정보위뿐만 아니라 저희가 국방부 그리고 여러 가지 유관부서들하고도 같이 논의하는 과정이 있었습니다. 여러 가지 의견들이 있었고요. 이런 것들을 저희가 다 모아서 어떻게 보면 종합적인 어떤 대책을 단기적인, 중장기적인 대책을 저희가 세우고 준비하다 보니까 다소 시간이 늦어진 점이 있었습니다.
그리고 조금 더, 그래서 저희가 지금은, 그러니까 이렇게 분리해서 생각을 해주십시오. 그러니까 지금은 어떻게, 지금 일어나고 있는 어떤 이슈에 대해서 빠르게 대응하면서 일단 지금 주요 시스템, 국민 생활과 접점에 있는 주요 IT 시스템에 대한, 아까 1,600개라고 우선 말씀드렸는데 여기에 대해서 빨리 저희가 점검을 하고, 여기에는 민간기업뿐만 아니라 공공기관도 포함돼 있습니다, 저희 공공 쪽에서도 점검이 필요하다고 생각해서.
그래서 저희가 단기적으로 이렇게 저희가 계획을 수립하고 추진을 하고 저희가 12월 안으로 국가사이버 안보전략 계획을 수립하고 발표하도록 하겠습니다.
<질문> 두 가지인데, 먼저 우리 국정원하고 행안부 실장님한테 컨트롤타워 문제 좀 하고요. 두 번째는 류제명 차관님한테 민간 하도록 하겠습니다.
첫 번째 컨트롤타워 문제인데요. 민간 쪽 컨트롤타워는 아시다시피 과기정통부가 맡고 있는데 저희 기자들이 오늘 계속 몇 분이 얘기했지만 민간에서 사고 나거나 아니면 정부 측에 사고 났는데 그거 누가 조사하고, 어제 국감에서 좀 논란이 있었지만 그건 과기정통부가 할 수 있는 영역이고, 저희가 밖에서 보기에는 어차피 공공, 정부는 국정원이 컨트롤하고 있는데 이 대책도 저희가 본 자료에는 용산을 중심으로 만들어졌다고는, 만들긴 만들었는데 액션에 들어갔을 때는, 또 사고가 났을 때는 컨트롤타워가 또 지금처럼 혼선이 없겠느냐, 좀 의구심이 있거든요.
그래서 국정원하고 행안부 이 실장님께서, 그러니까 이번에도 프랙에서 공공, 정부 부처가 해킹을 당했잖아요. 그 사고 조사 같은 거 어떻게 하고 있었으며, 그다음에 앞으로 또 났을 때 이런 정부부처 쪽을 국정원이나 행안부가 커버하는 건지.
그리고 전체적으로 결국은 모든 정부 맨 위에는 용산이 있는데 지금 저희들 보기에는 여기서도 용산 분은 안 오셨잖아요, 제일 중심으로 만들었는데. 그래서 좀 여기 있는 분들이 어쩌면 컨트롤타워분이 다 오셨는데 이것만 보더라도 조금 걱정스러운데 이 부분을 정부 측 좀 얘기해 주시고요.
그다음에 2차관님한테는 두 가지인데, 여태껏 저희들이 막 얘기하는 것 중에 대부분 들어갔는데 하나는 좀 아쉬운 게 기업이 민간 침해 당하면 미국처럼 빨리 신고를 하면 이렇게 숨기지 않고 미국 같은 데, 외국 같은 데는 인센티브도 있다고 그러는데, 그런 얘기도 나왔었는데 지금 계속 벌만 주고 빨리 신고하게끔 만드는 그런 당근은 없는 것 같은데 그거 하나 궁금하고요.
그다음에 결국은 우리가 이렇게 하면 시장이 커지고 산업이 커질 것 같은데 그렇다고 저희 골목대장으로 되면 안 될 것 같은데, 커진 것 중에 지금 저희가 그동안 얘기한 거는 IT 예산의 몇 %를 하지 말고 매출의 몇 %를 보안에 투자하라고 그렇게 얘기를 해왔는데, 저희들이 받은 자료에 의하면 그냥 '2026년 1분기에 일정 수준 이상으로 확보하겠다.'만 지금 너무 애매한 표현으로 돼 있거든요.
그래서 공공의 정부와 예산을 결국은 제값 받기만 돼주면 저희들이 시장이 스스로 알아서 커서 해외로 나가 볼 것 같은데 이 부분 조금 더 클리어하게 해주시면 좋을 것 같습니다. 국정원하고 행안부 답변 부탁드리겠습니다.
<답변> (김창섭 국정원 3차장) 공공 분야에 대해서는 여러분들께서 잘 아시다시피 지금 국가사이버위기관리단이라고 해서요. 안보실에서 감독을 하고요. 국정원 산하의 민관군 협업으로 해서요. 상주하는 인원이 각 기관별로 상설로, 한 20여 명이 상설로 있고 그다음에 큰 위기가 있을 때는 민간업체도 비상설로도 포함되는 그런 국가사이버위기관리단, 통상 국사단이라고 있습니다.
그래서 여기에서 먼저 어떤 이번 프랙 보고서처럼 뭔가 해킹에 대한 징후나 아니면 뭔가 침해가 있었다는 그런 발표가 있으면 관련되는 부처들끼리 긴밀히 협의를 해서요.
이번에도 행안부의 온나라시스템 같은 경우에는 국정원이 7월 14일에 협조 채널을 통해서 미리 그 정보를 입수한 다음에 바로, 정보를 바로 공유를 했습니다. 공유를 했고요. 그다음에 실제적으로 그 사고 조사에 있어서도 국사단을 통해서 합동으로 지금 조사 중에 있습니다.
그리고 이제 행안부 안에서의 어떤 침해나... 아, 그 온나라시스템에 대해서는 행안부가 그거를 지금 중점적으로 분석도 하고 있고요. 물론 국사단도 같이 협업을 해서 일을 하고 있습니다.
그리고 국정원 같은 경우에는 조금, 우리 행안부하고는 조금 다르게, 이를테면 어떤 인텔리전스, 해외 정보를 기반으로 해서 해외에서의 과연 누가 해킹을 했는지 해커를 특정하는, 특정하는 그러한 작업 쪽에 조금 더 집중되어 있습니다. 그래서 현재도 그 작업 중에 있고요.
그래서 이 작업이 아직 다 안 끝났기 때문에 우리 행안부하고... 행안부에서의 어떤 결과, 결과까지를 아직은 저희가 계속 지금 분석 중이고 더 조사 중에 있기 때문에 아직 마무리가 안 됐는데요. 마무리가 되면 국회 등을 통해서 이런 거는 발표를 할 예정이고요.
그다음에 아까 부총리님께서 언급하셨는데요. 11월 또는 12월에, 아까 거버넌스에 관련해서 여러분들이 우려가 있으신데요. 그 부분에 대해서는 국가안보실을 중심으로 해서 각 부처가 이 사이버 안보, 사이버 보안에 대한 거버넌스를 어떻게 조금 더 개선할 건지 그거를 이번 11월, 12월에 사이버안보 전략에 담을 예정입니다.
<질문> 그럼 저희가 민간 합쳐서 총 컨트롤타워는 안보실, 용산 안보실이라고 생각하면 되는 거죠?
<답변> (김창섭 국정원 3차장) 예, 맞습니다.
<질문> 국정원이 아니고요?
<답변> (김창섭 국정원 3차장) 예.
<답변> 총 컨트롤타워가 국가안보실이고 전반적인 어떻게 보면 공공 그리고 공공 영역에 있어서는 국가사이버위기관리단, 국사단에서 실행 주체가 될 거고요. 당연히 민간 영역에 있어서는 과기정통부가 역할을 합니다.
다만, 예를 들어서 저런 부분에서 저희가 국정원과 협력이 가능할 텐데요. 어떻게 보면 사실 국정원에서 민간 영역으로 뭔가를 저희가 영역, 그러니까 예를 들어서 민간 어떤 개인들의 어떤 통화 내역들이 사실 국정원들이, 국정원에서 이런 것들이 모니터링되고 하는 것들에 대한 국민들 우려가 있지 않습니까?
사실 그런 부분이 아니라 예를 들어서 이번에 펨토셀이 각 통신사 복구할 때 있어서 이런 게 기술적인 어떤 검토 부분들이 있습니다. 그래서 실제 이런 어떤 셀들이 왜, 기존에 인증을 받지 않아도 이런 것들이 왜 붙어서 작동하고 하는 데 있어서 어떤 기술적인 분석과 검토가 필요한 데 있어서 국정원과 과기정통부가 이렇게 긴밀하게 좀 협업을 할 수 있겠다, 이렇게 예시를 들어서 말씀드립니다.
<답변> (이용석 행안부 디지털정부혁신실장) 부총리님과 3차장님께서 충분히 거버넌스 컨트롤타워 역할을 많이 말씀 주셔서 그 부분은 생략하고요. 실질적으로 행안부에는 국가정보자원관리원에 국가 주요 시스템들이 입주해 있고 또 지자체와 관련된 역할들을 하고 있습니다.
그래서 24시간 보안 관제부터 실질적으로 많은 중점 시스템에 대한 보안 조치들도 많이 필요한, 실행이 돼야 되는 부분이기 때문에 이번에도 마찬가지로 그런 취약점이 나타났을 때 그걸 신속하게 취약점을 조치하고 이행하는 데 저희가 큰 역할을 하고 있... 중점을 두고 있다고 생각하고 있고요.
또 지자체와 관련된 일에 대해서도 저희가 지역정보개발원이 있기 때문에 같이 함께해서 지자체의 조직이나 인력 강화, 그다음에 보안 관제 관련된 역할들도 충분히 해서 인텔리전스 예방 조치 관련된 것뿐만 아니라 그 실행 부분도 유기적인 협조를 통해서 잘 진행할 수 있도록 하겠다는 말씀드립니다.
<답변> (류제명 과기정통부 2차관) 아까 저한테 질문을 주신 부분에 대해서 간단히 말씀드리겠습니다. 기업들이 침해 사고를 신고를 지연을 했느냐 하는 논란들이 계속 생기고 있습니다. 그래서 이게 고의성이 있는 거냐 아니면 다른 원인들이 있는 거냐, 다양한 해석이 있을 수 있는데요.
일단 침해 사고를 인지한, 인지하고도 지연되는 경우에는 좀 신고 지연에 따른 과태료 상향 같은 징벌적인 조치들도 지금 이루어지고 있는데 말씀하신 것처럼 자발적인 신고가 가장 바람직하다고 보고 그래야만 신속한 대응이 가능하다는 그런 판단을 하고 있습니다.
그래서 개보법상의 징벌적 과징금, 또 금융위 이런 데서 이미 하고 있는 그런 과징금 할 때 정상적인 신고에 대해서는 이미 인센티브, 참작하고, 정상 참작하고 그런 것들이 있을 것 같은데요. 좀 더 보완할 점 있는지 좀 해서 인센티브적으로 할 수 있는 것들은 협의를 하겠고요.
저희도 징벌적 과징금을 도입할 때 자발적 신고에 대해서는 그냥 안 했을 때 페널티가 아니라 자발적 신고에 대해서는 감경 사유를 포함하는 방안, 그리고 또 한 가지 문제는 기업 입장에서 이게 침해인지 아니면 어제도 논란이 됐습니다만 내부자에 의한 유출인지 이런 해석이 모호한 측면이 있습니다.
그래서 저희가 이번에 직권조사, 부총리께서 말씀하신 그 직권조사를 도입하려는 이유도 그런 판단을 기업 스스로 하기가 모호한 지점, 그런 불확실한 상황에서 정부가 민간 전문가와 구성한 판단 회의 같은 이런 것들 운영을 해서 권고하면 기업들이 바로 수용할 수 있는 그런 체계를 만들자는 겁니다.
그래서 아무튼 목표는 기업들의 어떤 지연 신고에 대한 처벌의 목표가 아니라 어떻게 하면 빠른 대처가 가능하도록 그런 것들을 고민하고 있다는 말씀드리고요.
투자 기준을 지금 IT 투자의 몇 퍼센트 수준으로, 우리 공공기관은 IT 투자의 15%를 국정원 지침에 의해서 권고를 하고 있는데요. 민간에 이걸 일률적으로 적용할지, 또 그걸 IT 투자로 할지, 전체 투자로 할지 이런 부분들은 조금 더 연구가 필요한 부분이라고 생각이 됩니다.
<질문> 아까 12월 안에 발표하신다고 하신 국가 사이버안보 전략에서는 오늘 발표하신 전략에서 좀 어떤 부분이 보강되는지 궁금합니다.
<답변> 전반적인 저희가 사고 예방 관점 그리고 사고 대응 관점 그리고 근본적인 정보보호의 어떤 기반을 마련하는 관점 그리고 전체적인 거버넌스를 수립하는 관점에서 저희가 지금 오늘 확정돼서 말씀드리지 못한 부분들이 있습니다. 그런 부분들을 확정하고 말씀을 드리겠다, 라고 12월 국가 사이버안보 전략 발표 말씀을 드린 것이고요.
지금은 저희가 우선적으로 대응해야 될 것들 위주로 말씀을 오늘 드린 것이고 이런 것들을 체계화하고, 또 사실 이 과정에서 저희 정부 부처만의 논의가 돼서는 안 되고 또 민간기업과 논의하는 과정이 필요합니다. 논의하고 또 일부는 합의하고 그들의 또 의견을 듣고 하는 과정을 통해서 12월까지 종합대책을 수립하고 발표하도록 하겠습니다.
<질문> 오늘 1,600개 시스템 점검한다고 발표하셨는데, 이거는 단기적인 거라고 하셨고. 그런데 만약에 이거에서 문제가 발생하면 과태료나 처벌을 받게 되는지 혹은 시정을 하게 될 텐데 그 1,600개 기관은 공공기관이 있어서 시정을 하려면 예산이 또 공공기관들은 필요하겠죠? 그러면 그걸 우선적으로 받게 되는 건지, 그런 실질적인 어떤 1,600개 단기적인 대책, 이에 대한 결과가 궁금합니다.
<답변> (류제명 과기정통부 2차관) 지금 점검의 목적이 어떤 기업의 잘못을 찾아서 징벌적으로 이렇게 하려고 하는 게 아니라 지금 현재 어디가 취약한가를 빨리 저희가 확인해서 사고를 막자는 취지가 강하지 않겠습니까?
그래서 저희는 지금 정부가 기업들하고 같이, 일부 직접 같이 하는 불시 점검도 있고 또 먼저 이렇게 자발적으로 하는 자체 조사를 통해서 받아야 될 부분도 있고 하기 때문에 아마 조사 과정에서 문제점이 발견되면 또 바로 신고 절차를 통해서 공식적으로 조사를 하는 그런 단계로 전환이 될 것 같고요. 정해진, 아직 그런 것들이 아직 확정되진 않았습니다만 그런 단계로 가는 것이 순리일 것 같습니다.
그리고 시정과 관련된 건 당연히 조사 과정에서 확인된 것들은 바로바로 정부와 함께 시정하는 것들을 보완해 나가는 건 당연히 필요할 것 같습니다.
<답변> 일단은 실태 파악을 한다, 라고 보시면 되고요. 실태 파악을 통해서 문제점이 얼마나 드러나는지에 따라서 필요한 어떤 예산도 좀 확보해야 되고, 그리고 각각 심각도에 따라서 어떻게 대응할지에 대한 계획이 나올 것 같습니다. 일단은 실태 파악을 빠르게 하겠다, 이렇게 말씀드립니다.
<질문> 정부 해킹 의혹 관련해서 일부 전문가분들께서 정부 전산망 전체에 대한 전수조사 필요하다는 전문가 의견 주시는 분도 계신데 여기 IT 시스템 1,600개 중에 공공기관 기반 시설 228개고 중앙·지방행정기관이 152개인데 이게 전수인지, 전수가 아니라면 대략적으로 비율은 어느 정도인지, 전수조사는 현실적으로 어려운 건지 질문드립니다.
<답변> (이용석 행안부 디지털정부혁신실장) 민간 말고 공공 분야 같은 경우에는 저희가 정보통신 기반 시설로 지정돼 있는 시설들도 있고 그 외에 중요한 시설들에 대해서 점검을 하게 되겠고요. 점검하게 되면 아까 말씀드린 것처럼 어떤 대책들이 있냐, 라고 하실 수 있을 텐데 실질적으로 운영사업을 통해서 즉시 조치가 가능한 것들은 즉시 조치가 돼야 될 것 같고요.
그다음에 저희가 예산 규정에도 보안과 관련돼서는 낙찰 차액을 통해서 우선적으로 할 수 있는 규정들이 있기 때문에 그 범위 내에 있는 것들은 그런 가용 재원들을 활용해서 조치가 가능할 수 있을 것으로 보여지고요. 또 단기적인 투자가 더 수반돼야 되는 것 같은 경우에는 내년 예산을 확보하는 그런 과정을 거쳐서 그런 대책들이 실제 이행될 수 있도록 그렇게 준비하고 있다는 말씀드립니다.
<질문> 안녕하세요? 금융·공공기관 등의 금융인증서... 아니, 공공, 공인인증서 대신 다중 인증을 활용한다고 하셨는데 금융·공공기관 외에 다른 민간에도 다중 인증의 도입을 요구하실 건지 그리고 인증 수단으로 모바일신분증을 언급하셨던데 모바일신분증을 확대 도입할 계획이신지, 이것도 여쭤보고 싶고요.
그리고 마지막으로, 오늘 계획에 보안 인력 양성한다, 차세대 보안 기업 육성한다고 돼 있는데 기존 보안 기업들에 대한 지원이 언급이 없는 것 같아요. 해외시장 진출이나 뭐 기술인증 표준화 같은 것에 대한 지원책 같은 것 고민하고 계신지 여쭤보고 싶습니다.
<답변> 일단 제가 간단히 먼저 말씀드리면 인증에 있어서 저희가 ISMS 여러 가지 인증체계들을 보면서 필요하면 국제 인증기관의 어떤 시스템들도 일부 도입을 할 필요도 있겠다, 이런 생각도 들었습니다.
그래서 일단 지금은 현재 우리가 하고 있는 ISMS의 어떤 적용, 어떤 전체적인 범위 그리고 거기에 대한 실효성을 저희가 철저히 분석하고요. 그리고 신뢰할 수 있는 어떤 국제 인증기관의 인증 설루션 또는 시스템들을 도입하는 것들도 검토할 계획을 가지고 있습니다.
그리고 금융·공공 인증기관 말씀 행안부에서 주실 수 있을 것 같은데, 저는 이런 해킹의 어떤 시작이, 특히 통신사에서 보면 대부분 알뜰폰 가입할 때 거기서 인증하는 과정에서 시작이 되는 부분이 많이 있는 것 같습니다.
그래서 기존의 PASS 앱 통해서 우리가 쉽게 지금 문자나 ARS로 인증하는 이런 체계들로 인해서 좀, 그 과정에서 많은 스미싱이 발생되고 이런 어떤 여러 가지 해킹의 어떤 원인을 발생시키는 부분이 있다고 생각해서 이런 다중 인증체계, 생체인식 도입이라든지 이런 부분들을 과기정통부에서는 좀 고민을 하고 있고 도입을 적극적으로 추진하고 있습니다.
혹시 행안부에서도 말씀 좀.
<답변> (이용석 행안부 디지털정부혁신실장) 지난 온나라 관련돼서 저희가 브리핑드릴 때도 말씀드렸습니다만 GPKI를 쓰는 경우에 패스워드하고 인증서가 노출됐을 때 나타나는 부작용들이 있었던 반면에 모바일신분증 같은 경우에는 처음에 인증할 때 얼굴 인증이라든지 계좌이체 같은 다각적인 복수인증체계를 갖고 있어서 한 쪽만 정보를 취득했다고 관련된 시스템에 접근할 수 있는 게 없기 때문... 불가능해지기 때문에 좀 더 안전한 인증체계라고 볼 수 있습니다.
그렇기 때문에 저희도 GPKI 같은 공인인증체계와 관련돼서는 모바일신분증을 대체하는 것이 훨씬 더 안정성을 더 강화할 수 있는 부분이라고 생각하고 있고요.
또, 민간 쪽에서 정부서비스 이용할 때도 이런 모바일신분증뿐만 아니라, 또 실제로 민간 회사에서 갖고 있는 간편인증체계도 그런 지문인식이라든지 이런 것들을 복수 인증 수단을 활용해서 운영하고 있는 시스템들이기 때문에 그런 것들을 넓혀가는 쪽으로 해서 기존의 인증서라든지 이런 것들이 갖고 있는 불편함이나 보안적인 취약점들을 개선해 나가겠다는 말씀드립니다.
<질문> 안녕하세요? 아까 정보보호 공시 의무 확대 관련해서 대책이 있었는데 국내 상장사 의무도 확대하고 한다고 말씀하셨는데 국내 기업들 외에 메타나 구글 같은 글로벌 기업들도 정보를 굉장히 많이 처리하고 활용을 하고 또 사고가 발생해서 개보위에서 과징금도 맞고 하는데, 그런 글로벌 기업들의 정보 공시에 대해서는 혹시 과기부 장관님께서 생각하시고 계신 대책이 구체적으로 혹시 있는지 궁금합니다.
<답변> 따로 대책이라기보다도 정보보호 의무 공시를 그들도, 해외 플랫폼 사업자들도 당연히 해야 된다고 생각합니다. 그래서 똑같이 지금 상장사, 우리 국내 상장사뿐만 아니라 해외 플랫폼 사업자들에게도 동일하게 적용할 수 있도록 하겠습니다.
<질문> ***
<답변> (류제명 과기정통부 2차관) 전반적으로 다중 인증이 안전한, 안전한 인증 방식이라는 점에는 다들 필요한 것 같은데요. 일단 저희는 이번에 KT 사고 관련해서 소액결제 시에는 지금 SMS나 ARS 인증만으로 하는 거는 없애려고 합니다.
그래서 일단 소액결제 시에 다중 인증 제도로 권고, 따르도록 하는 부분은 저희가 실제로 직접 적용을 할 거고요, 통신사들의 경우에는. 전반적으로 다중 인증 체계로 얼마나 민간 기업들한테 확산, 그러니까 그런 것들은 좀 더 연구가 필요한 부분 같고요. 지금 보안 취약점, 인증 과정에서 생기는 취약점들을 분석해서 기업들과 같이 한번 논의해 보면 좋을 것 같습니다.
<질문> 질문 기회 주셔서 감사합니다. 망분리 관련해서 전문가들이 이 부분을 지금 주목하는 분들이 많은데 오늘 질문이 안 나와서 한번 여쭤보는데요. 이게 망분리를, 이 체계를 바꾼다는 것은 그러니까 이게 물리적 망분리가 시대적으로 더 이상 유지가 어려운 부분이 있고 그리고 AI 시대에 AI를 활용해야 한다는 측면, 이런 측면에서 고려하고 계신 게 맞는지 그 의미를 여쭤보고요.
또 하나는 망분리 완화할 경우에 제로트러스트 원칙이 필요하다고 들었는데 오늘 대책에는 그런 내용이 담겨 있지 않아서 이런 게 향후 대책에 포함될지, 그런 걸 여쭤보고 싶습니다.
<답변> (김창섭 국정원 3차장) 기존에 특히 국가 공공 분야에 있어서는 그 망에 있어서 물리적으로 분리가 되는 폐쇄적인 그런 망분리 정책을 써 왔습니다.
그런데 잘 아시다시피 방금 지적하신 대로 이제 AI 시대에 있어서 데이터는 개방성을 전제로 저희가 활용이 되어야 되기 때문에요. 저희는 새로운 망에 대해서는 국가 공공에 있어서는 망 체계를 기존의 그런 폐쇄적인 구조에서 지금 데이터의 중요도에 따라서 세 단계로 나눠서 보안을, 차등적으로 보안을 나눕니다.
그래서 쉽게 얘기해서 아주 기밀 데이터는 기존처럼 그런 독립적인, 독립적인 환경으로 가고요. 그다음에 그거보다 조금 중요도가 덜 한, 민감한 데이터는 편하게 얘기해서는 논리적인 그런 망분리로 가고요. 그다음에 공개 데이터에 대해서는 인터넷 접속이 언제나 편하게 되게끔 그냥 자유롭게 유통이 되는 그런 망분리 정책으로 변... 전환하게 됩니다.
그래서 이거에 대해서는 이번 9월 말에 저희가 망분리에 대해서는 신보안망체계라고 해서요. N2SF 정책에 대한, N2SF에 대한 보안 가이드라인을 저희가 배포했고요.
그다음에 지금 과기정통부와 같이 협조해서요. 이미 이거에 대한 실증사업을 몇 개 기관에 대해서는 또 하고 있고, 그다음에 독자적으로 또 하고 있는 기업이나 기관들이 한 10개 정도 지금 진행 중에 있습니다.
그래서 이거를 저희가 진행하면서요. 사실은 어떻게 보면 더 공격을 받을 공격 표면이 더 사실은 확대되는 그러한 측면이 있습니다. 그래서 과거에 완전히 분리가 돼 있을 때는 아무래도 공격에 덜 노출이 됐는데요. 이제는 분명히 공격에 더 많이 노출돼서 사고가 생길 가능성은 사실 더 많이 생깁니다.
그래서 방금 말씀하신 대로 제로트러스트와 같이 이게 연계가 되어서 지금 공격 표면도 더 많이 확장이 됐고, 그다음에 저희가 기존의 어떤 병목 지점에서, 어떤 경계 지점에서만 지금 보안을 하고 있는 상황이 아니고 이제는 저희가 내부에 침입해 있다는 그러한 거를 설정을 해서 저희가 보안을 해야 되는, 조금 더 사실은 저희가 활용이 늘어남에 따라서 저희가 보안이 더 공격... 그러니까 보안을 더 신중하고 보안에 대해서 더욱 고려를 많이 해야 될 사항이 더 많이 늘어나고 있습니다.
그래서 이거는 저희가 이 부분에 대해서는 관련 연구소, 학계, 그다음에 여러 전문가분들하고 작년, 올해 계속 이거에 대해서는 지금 집중적으로 계속 연구하고 있고요. 그거에 대한 가이드라인, 그다음에 설명서는 이번에 배포했고, 그다음에 이거로 끝나는 게 아니고요.
저희가 실증사업을 통해서 계속 문제점이 있는 거는 계속 해소하고 더 좋은 개선점이 필요하다면 또 개선해서 저희가 AI 시대에 데이터를 보다 더 개방성 있게 활용할 수 있게끔 그러한 체계로 저희가 망 체계, 네트워크 체계를 변환하도록 하겠습니다.
<질문> 안녕하세요? 과징금 관련해서 궁금한 게 있는데요. 해외의 기업 같은 경우도 물론 국내에서 해킹 사고 유발 시 과징금을 물지만 매출 자체가 좀 불명확해서 국내 기업 대비 과징금이 좀 적다는 지적이 나옵니다. 과징금을 확대해도 해외의 기업 같은 경우는 강제성이 있을지, 국내 매출이 제대로 파악이 돼서 과징금이 매겨질지 궁금하고요.
또, 과징금에 대한 용어 워딩이 말씀을 들어보니까 헷갈리는 게 여기 자료에 보면 '과징금 수입을 피해자 지원 등 개인정보 보호에 활용할 수 있도록 기금 신설이 검토된다.' 그러면 제가 이해하기로는 통신사의 경우 이용 고객도 있지만 만약에 피해자에 기업도, 침해를 받은 기업도 피해자로 들어간다면 차관님 말씀하신 것처럼 '보안 투자 강화하는 방식으로 연구를 하려고 한다.' 그러면 이거는 또 징벌적 과징금이 또 아니지 않나, 라는 생각이 드는데 설명 부탁드립니다.
<답변> (이정렬 개보위 사무처장) 개인정보보호위원회에서 먼저 말씀을 드리겠습니다. 말씀하신 게 두 가지인데 하나는 해외의 기업들, 글로벌 기업들에 대해서 과징금 제도가 형평성을 잃지 않느냐, 덜 처분하는 것 아니냐, 매출액을 확인하기 어렵지 않냐, 이 부분인데 여러분 아시다시피 지난번에 구글·메타 같은 경우는 2022년 9월에 1천억에 상당하는 과징금을 실제 의결한 바가 있고, 처분한 바가 있고 동일한 기준이 적용됩니다.
그리고 이 관련해서는 얼마 전에 해외 사업자에 대한 어떤 안내서, 개인정보보호처리 안내서를 발간해서 설명도 했고 우리 보호법에 해당되는 기준을 어길 때는 우리 법령에 따라 엄정하게 처벌된다, 이렇게 말씀을 드리고요.
그리고 개인정보 보호 관련된 과징금, 징벌적 과징금 부분하고 좀 어긋나는 거 아니냐, 이런 부분인데 징벌적이라는 측면은 처리자가, 예를 들어서 고의로 자료를 은폐하거나 아니면 반복적으로 위반한 경우나 아주 고의·과실이 중대한 경우 이런 경우에 현행 과징금 제도를 좀 가중하는 부분을 얘기를 하는 것이고요.
반대로 예를 들어 협조를 한다든지, 아까 처리자 입장에서 개인정보 보호 체계를 갖추기 위해서 많은 노력을 했다, 예방적 투자도 한다든지, 기타 암호화도 철저히 했다든지, 탐지·삭제도 스스로 했다든지. 아까 자진 신고 이런 얘기도 있었는데 기한 내에 빠른 신고를 했다고 그러면 현재에도 감경 제도를 유지하고 있습니다만 그걸 더 확대하는, 그리고 법적 근거를 명확하게 하는 측면의 감경 제도를 같이 운영해서 처리자에게 부담을 좀 줄여주는 이런 쪽을 같이 검토하겠습니다.
그래서 이런 부분들을 지금 의견을 폭넓게 듣고 있고 조만간에 빠른 시일 내에 대책을 발표할 때 포함시켜서 발표하도록 하겠습니다.
<질문> 안녕하세요? 정보보호 공시 의무 결과를 토대로 등급화를 한다고 하셨는데 이게 구체적으로 어떤 기준으로 등급을 구분할지 구체적인 운영 방안이 나왔는지 궁금하고요.
두 번째는 공공기관 정보보호책임자 직급을 올렸는데요. 아직 공공기관은 정보보호책임자 지정이 의무가 안 된 걸로 알고 있습니다. 먼저 의무화를 하는 게 순서일 것 같은데 계획은 없는지 궁금합니다.
<답변> 정보보호 평가 등급에 대한 기준을 지금 저희가 스터디를 하고 있고요. 그러니까 이것도 12월 종합대책 발표 때 좀 구체화해서 발표한다, 라고 말씀을 드리고 싶습니다.
그래서 일단 이런 정보보호 등급을, 어떤 정보보호 공시 의무화하겠다는 거는 아까 말씀드린 대로 실제로 기업들이 자발적인 투자를 유도하기 위한 것이다, 라고 이해해 주셨으면 좋겠고요. 저희가 지금 종합적인 대책을 세우고 또 구체적으로 말씀드릴 기회를 갖도록 하겠습니다.
제가 마무리 말씀을 드리면 이번 정보보호 해킹, 단순히 몇 개월 사이의 어떤 일도 아니고 과거서부터 여러 가지 계속해서 공격도 있었고 여러 가지 기업들, 정부에서도 이런 대책들 계속 세우고 방안들을 내세우고 했었지만 계속해서 문제들이 발생이 됐던 것 같습니다.
이런 정보보호 관련된 이슈는 앞으로도 계속해서 일어날 것이고 그러기 때문에 사실 정부도 책임이 없다, 라고 할 수 없습니다. 저희가 많은 책임을 가지고 있다고 생각을 하고 있고, 기존에 저희가 부족했던 부분들을 하나씩 저희가 얘기를 해 나가고 있습니다. 예를 들어서 국정원과도 여러 가지 얘기를 많이 할 수 있었는데 많이 얘기하지 못한 부분들도 있습니다.
거버넌스 측면에서 우리 안보실 중심으로 이런 논의체가 지금 진행되고 있지만 오늘 참석한 행안부, 금융위원회, 국가정보원, 과기정통부, 개인정보보호위원회가 어떤 이런 문제를 해결하는 실행 주체로서 책임감을 가지고 이런 대책을 수립하고 즉시 대응하고 우리가 투자해야 될 부분들은 적극적으로 투자를 하겠다, 라고 말씀을 드리고 싶고요.
그런 측면에서 저희가 지금의 어떤 단기적인 대응, 그리고 중장기적인 종합적인 대책들을 계속해서, 사실 12월 발표로 한 번에 끝나진 않을 것 같습니다. 계속해서 저희가 발표를 드리고 국민들이 안심하고 저희 서비스 이용하실 수 있도록 저희가 계속해서 노력해 나가겠습니다.
계속해서 문제점들은 계속 지적을 해주시고요. 계속 이런 기술이 어떻게 보면 계속 발전하고, 사실 AI를 통해서도 많은 부분들을 대응하기 위한 노력도 좀 하고 있습니다.
다만, 이런 어떤 해킹이나 정보보호 이슈들이 우리가 대응하는 만큼 또 기술이 발전하고 있기 때문에 다양한 고민들이 필요하고 다양한 제보들, 의견들 주시면 충분히 참고해서 정부에서 정책 마련하는 데 잘 참고하도록 하겠습니다.
이 누리집은 대한민국 공식 전자정부 누리집입니다.
속기자료.hwp
속기자료.pdf
