롯데카드·KT·SK쉴더스 해킹 이후 규제체계 근본 전환
상장사 전원 정보보호 공시 의무화
1600개 공공·민간 시스템 전수점검 착수
CEO 책임 명문화 추진
상장사 전원 정보보호 공시 의무화
1600개 공공·민간 시스템 전수점검 착수
CEO 책임 명문화 추진
[이데일리 김아름 기자] 정부가 연쇄 해킹 사고 이후 사이버보안 체계를 전면 재편하며 기업 전반에 ‘초고강도 규제 시대’를 선언했다. 정부는 기업의 신고 여부와 관계없이 직권조사를 실시하고, 해킹 사고가 반복될 경우 관련 매출의 최대 10% 수준까지 징벌적 과징금을 부과하는 방안이 추진 될 수 있음을 시사했다. 최근 롯데카드, KT, SK쉴더스 등의 개인정보 유출 사례가 연이어 발생하면서 정부가 ‘경영 리스크 체계 전환’을 공식화했다는 평가다.
22일 과학기술정보통신부와 관계부처가 발표한 ‘범부처 정보보호 종합대책’에 따르면, 사고 발생 후 조치 중심이던 기존 체계는 ‘정황 인지 → 즉시 직권조사 → 점검 결과 기반 제재’ 방식으로 전환된다. 지금까지는 기업이 침해 사고를 인지한 후 24시간 이내 한국인터넷진흥원(KISA)에 신고해야 정부 조사가 개시됐으나, 앞으로는 은폐 가능성 또는 심각한 이상 징후만 포착돼도 직권조사가 이뤄진다. 이미 관련 법 개정이 추진 중이며, 통과될 경우 2026년 상반기부터 상시 감시 체계가 가동될 전망이다.
이를 위해 통신 3사는 운영망을 대상으로 실전형 침투 테스트 실시를 수용했고, 주요 상장사는 최고정보보호책임자(CISO) 자체 점검 결과를 최고경영자(CEO)가 확인 후 정부에 제출하는 방안이 협의되고 있다. 정부는 “조사의 주체가 기업에서 국가로 넘어가는 체계 전환이 본격화되는 것”이라고 설명했다.
 |
배경훈 부총리 겸 과학기술정보통신부 장관이 22일 오후 서울 종로구 정부서울청사에서 범부처 정보보호 종합대책 합동 브리핑을 하고 있다. (사진=뉴스1) |
22일 과학기술정보통신부와 관계부처가 발표한 ‘범부처 정보보호 종합대책’에 따르면, 사고 발생 후 조치 중심이던 기존 체계는 ‘정황 인지 → 즉시 직권조사 → 점검 결과 기반 제재’ 방식으로 전환된다. 지금까지는 기업이 침해 사고를 인지한 후 24시간 이내 한국인터넷진흥원(KISA)에 신고해야 정부 조사가 개시됐으나, 앞으로는 은폐 가능성 또는 심각한 이상 징후만 포착돼도 직권조사가 이뤄진다. 이미 관련 법 개정이 추진 중이며, 통과될 경우 2026년 상반기부터 상시 감시 체계가 가동될 전망이다.
이를 위해 통신 3사는 운영망을 대상으로 실전형 침투 테스트 실시를 수용했고, 주요 상장사는 최고정보보호책임자(CISO) 자체 점검 결과를 최고경영자(CEO)가 확인 후 정부에 제출하는 방안이 협의되고 있다. 정부는 “조사의 주체가 기업에서 국가로 넘어가는 체계 전환이 본격화되는 것”이라고 설명했다.
![[이데일리 이미나 기자]](https://thumb.zumst.com/780x0/https://static.news.zumst.com/images/24/2025/10/22/ef2a7a0576204757b114ab12ae56931f.jpg) |
[이데일리 이미나 기자] |
징벌적 과징금 도입도 핵심 변화다. 고의 은폐, 지연 신고, 재발 방지 미이행 등 위반 유형에 따라 이행강제금이 별도로 부과될 수 있다. 금융위원회는 전자금융거래법 개정을 통해 과징금 상향 기준 마련에 착수했으며, 개인정보보호위원회 역시 반복 유출 시 가중적 제재를 명문화하는 방안을 논의 중이다.
징벌적 과징금이 현실화되면 예컨대 연매출이 10조 원인 기업이 동일 유형 사고를 재발시킬 경우 수천억 원의 금전 제재를 감수해야 한다. 이는 단순 ‘보안관리 부실’이 아닌 ‘경영 판단 실패’로 해석될 가능성을 높인다.
배경훈 부총리 및 과기정통부 장관은 “정보통신망법 차원에서 과징금 부과 정책 연구를 진행하고 있다”라며 “영국에서는 정보 보호 관련 이슈가 있을 때 관련 매출의 10% 정도까지 부과하는 사례들도 있다”라고 말했다.
‘사고 후 대응’에서 ‘경영 책임 정조준’으로
정부는 긴급 점검 체계도 가동한다. 공공기관 및 핵심 기반시설 전반을 대상으로 공공 인프라 288개, 행정기관 152개, 금융업 261개, ISMS 인증 민간기업 949개 등 총 1600개 시스템에 대한 전수 점검이 우선 시행된다. 취약점 확인 시 자체 시정조치를 전제로 하며, 심각한 이상 징후가 드러날 경우 곧바로 ‘공식 조사 단계’로 전환된다. 실태 파악에서 드러난 구조적 문제에 대해서는 예산 확보를 통해 개선을 지원할 계획이다.
정보보호관리체계(ISMS, ISMS-P) 인증 제도는 서류 심사 중심 구조에서 탈피해 현장 점검 비중이 대폭 확대된다. 주요 결함 발생 시 인증 취소 조치가 기술될 예정이며, 이를 보완하기 위해 모의해킹 훈련과 화이트해커 기반 상시 취약점 점검 체계가 병행된다.
인증·접속 체계도 강화된다. 비밀번호-OTP-생체인식 등 다중 인증(MFA) 의무화가 추진되며, 모바일 신분증 인증 기반 전환이 본격화될 경우 문자·ARS 인증 구간에서 발생하는 사회공학적 해킹(스미싱·피싱) 피해도 감소할 것으로 예상된다. 정부는 “국내 인증 환경에 대한 신뢰 확보를 위해 국제 인증 도입도 검토한다”고 밝혔다.
“보안은 선택 아닌 의무”…공시 확대·CEO 책임 강화
공공·민간의 책임 수준도 상향된다. 공공기관의 경우 경영평가 시 사이버보안 관련 배점이 대폭 확대되며, 민간 기업은 정보보호 공시 의무 대상이 현재 666개에서 상장사 전체 약 2700여 개로 확대된다. 등급화된 보안 수준은 공개되며, 시장의 평가체계와 주가 등 기업 신용에도 영향을 미치게 된다. 이 과정에서 CEO 보안책임을 법령에 명문화하고, 최고정보보호책임자(CISO)·개인정보보호책임자(CPO)의 권한도 실질적으로 강화된다.
정부는 오는 12월 이번 종합대책에서 포함되지 않은 중장기 전략을 포함한 ‘국가 사이버 안보 전략’을 국가안보실 주도로 별도 발표할 예정이다. 배경훈 부총리 겸 과기정통부 장관은 “보안 투자 의무화가 기업 자발적 보안 경쟁으로 이어질 수 있도록 법적 근거를 구체화하겠다”며 “새 전략은 기업 운영 환경 전반을 재편하는 기준점이 될 것”이라고 말했다.
이 기사의 카테고리는 언론사의 분류를 따릅니다.