적극적 보안 투자 기업에 혜택 징벌적 과징금과 인센티브
라이더
0
6
10.22 16:47
대규모 해킹 정부도 책임 12월 국가사이버안보전략 발표 정부는 최근 발생한 해킹 사고에 대한 책임을 부인할 수 없습니다 향후 정보보호에 대한 이슈가 계속 일어날 전망인 만큼 정부도 책임감을 가지고 임하고 문제점을 보완하겠습니다 배경훈 부총리 겸 과학기술정보통신부 장관은 22일 서울 종로구 정부서울청사에서 브리핑을 열고 이렇게 밝혔습니다 올해 SK텔레콤 KT 등 통신사뿐만 아니라 금융사와 정부기관에서 연이어 보안사고가 발생한 것에 책임을 느끼고 있다는 취지였습니다 정부는 이날 단기적 추진방향을 담은 범부처 정보보호 종합대책을 발표했습니다
여기에는 공공 금융 통신 등 정보기술 시스템 1600여개를 대상으로 보안 취약점 점검을 실시하고 반복적으로 사고를 낸 기업에게 징벌적 과징금을 부과하는 내용이 담겼습니다 보안사고가 발생한 기업이 신고를 하지 않더라도 정부 차원의 직권 조사도 가능해집니다 정보보호 공시 의무 기업을 상장사 전체로 확대하는 방안도 추진합니다 다만 보안 투자를 유도할 인센티브 제도와 중장기적인 계획은 이번 종합대책에 포함되지 않았습니다 이와 관련해 배 부총리는 12월 안으로 국가사이버안보전략계획을 수립하고 발표하겠다 고 예고했습니다
여기에는 사고 예방과 보안 거버넌스 체계에 대한 중장기 전략이 담길 전망입니다 국가정보원은 미국 보안전문지 프랙 이 입수한 정보를 사전에 얻지 못했다는 비판에 대해 사이버위협인텔리전스 도구가 미흡했다는 점을 인정한다 고 답했습니다 국정원은 인공지능 기술 기반 차세대 사고 조사 도구를 관련 부처에 정식 배포해 대응 역량을 높이도록 지원할 방침입니다 금융당국은 롯데카드 사고를 계기로 금융권 보안체계를 재점검하겠다고 밝혔습니다 그간 중복규제를 이유로 정보보호 공시 의무대상에 금융사가 포함돼 있지 않았지만 상장하지 않은 소형금융회사까지 보안투자 공시를 이행하도록 법안을 발의할 계획입니다
다음은 배경훈 부총리 류제명 과기정통부 2차관 김창섭 국정원 3차장 이용석 행안부 디지털정부혁신실장 신진창 금융위 사무처장 이정렬 개인정보위 사무처장과의 일문일답 일부 Q 징벌적 과징금은 어떤 방식으로 부과되나
A 개인정보와 금융과 관련된 이슈의 경우 전체 매출액 3 를 과징금으로 부과할 수 있습니다 정보통신망법 차원에서도 그 정도의 과징금을 부과할 수 있도록 정책 연구를 진행하고 있습니다
영국의 경우 정보보호 이슈가 있을 때 관련 매출의 10 를 부과한 사례가 있습니다 종합적인 해외 사례와 정책 연구를 통해 적절한 징벌적 과징금 범위와 강도를 정하겠다 금융위 소관 신용정보법을 보면 정보 유출에 따른 피해를 피해자가 입증하는 것이 아닌 과실 여부를 금융회사가 입증하도록 전환돼 있습니다
손해배상액을 다섯 배까지 올리는 징벌적 손해배상제도도 현행 법에 포함돼 있습니다 전자금융거래법에 과징금 제도가 매출액 3 등 사안별로 분류돼 있는데 전반적으로 수준을 높이려는 계획을 갖고 있습니다 징벌적 과징금 제도를 도입하는 입법 조치는 전자금융거래법 개정이 필요합니다 개정안은 조만간 발의해 이번 정기 국회에 논의될 수 있도록 하겠다 광주 금호지구 대광로제비앙
Q 그간 모의해킹과 같이 많은 대책이 있었다 해킹 사고가 연이어 발생했습니다
이전 대책에서 부족한 점은 무엇이었나 A 과거에는 사고가 발생한 서버를 위주로 침투 경로를 파악하는 접근 방법을 활용했습니다 1600여개 시스템을 점검하겠다는 계획은 모든 인터넷 연결 지점에 침투 가능성이 있다는 전제를 깔겠다는 것과 같습니다 기존에는 해킹과 같은 보안 사고가 발생하면 신고를 하지 않을 경우 조사를 할 수 없었습니다
정보보호 평가를 받고 투자와 인력에 대해 의무공시를 하는 것도 큰 차이점입니다 투자를 늘려 안전한 정보보호 체계를 만들고 소비자가 안심하고 서비스와 제품을 이용하도록 하겠다 Q 징벌적 과징금과 같이 처벌 에 집중한 대책만 꾸린 것 아닌가 인센티브 제도에 대한 고려사항은
A 적극적으로 보안에 투자하는 기업에게 인센티브를 제공하는 방안을 만들겠다 세제 지원 등에 대한 방법은 추후 종합대책을 고도화할 때 추가적으로 논의하겠다 지금은 사전예방을 고민하는 것도 중요하지만 현재 이슈를 막기 위해 어떤 작업이 필요한지 고민할 때다 필요한 점은 단계적으로 파악해 인센티브 방안을 포함해 발표하겠다
Q 그간 금융사는 중복규제를 이유로 정보보호 공시 의무 대상이 아니었습니다 이번 대책을 통해 전체 상장사가 공시 의무 대상이 됐는데 금융사도 포함되나 A 금융회사 중에도 상장을 완료한 곳이 많다
그러나 소형금융회사는 상장돼 있지 않습니다 금융권은 대귝민 금융서비스에 보안이 직결된 만큼 전자금융거래법 개정 작업에 공시 대상을 비상장회사까지 포함하는 법안을 발의할 예정입니다 정보보호 공시제도 대상을 확대하는 안은 내년 상반기부터 적용됩니다 Q 최근 국정원을 대상으로 CTI 역량이 충분하지 않다는 지적이 제기됐습니다
추후 고도화 계획이 있나 A 기존 CTI 도구가 많이 미흡했다는 이야기가 있는데 인정합니다
특히 기존에 알고 있는 취약점 외에 새로운 취약점이 계속 발견되고 있는 점도 사실입니다 늘 뒤따라가면서 사고 조사를 하는 수동적인 방어 패턴에서 일해온 것도 맞다 해당 부분에 있어 적극적이고 능동적으로 사고에 대응할 수 있게끔 도구를 개선하겠다
국정원은 차세대 사고 조사 도구를 개발해왔고 올해 6월부터 시범적으로 일부 기관에 활용을 시작했습니다 해당 도구는 AI 기능을 탑재해 침해 흔적을 채집하고 취약점을 자동 분석할 수 있습니다 구미 원호자이 더 포레
곧 정식으로 관련 부처에 배포할 계획입니다 Q 기업 최고경영자 뿐만 아니라 정보보호최고책임자 와 개인정보보호책임자 권한을 강화하고 책임을 명문화하겠다고 밝혔습니다
정부시스템도 공격을 당한 만큼 책임이 있다고 생각하지 않는가 A 정부도 해킹 이슈에 자유롭지 않다는 점을 인정합니다 그렇기 때문에 민관과 전문가가 함께 고민해야 하는 상황입니다 정부는 올해보다 7
7 증가한 4012억원을 정보보호 예산으로 편성하는 등 책임을 다하겠다 Q 이번 보안점검이 자칫 불법적인 불시 점검이 될 가능성은 없나 A 통신3사 점검의 경우 사전에 동의를 완료해 진행하게 됐습니다
불필요한 오해를 없애기 위해 관련 내용도 법제화하겠다 아울러 화이트해커가 공익적 활동을 할 수 있도록 관련 안도 긍정적으로 검토 중입니다 다양한 모의훈련이나 모의해킹 등 시뮬레이션도 진행하고 있습니다
이를 강화할 수 있는 방안을 고민하고 추진하도록 하겠다 Q 보안 사고를 종합적으로 관리할 통합 컨트롤타워를 세울 계획은 없나 A 현재 총 컨트롤타워는 국가안보실입니다
그리고 공공으로 특정하면 국가사이버위기관리단이 있고 민간에는 과기정통부가 그 역할을 합니다 그러나 민간과 공공이 협업해야 하는 일도 있습니다 이러한 부분에 있어 국정원과 과기정통부가 협업하도록 하겠다
Q 정보보호관리체계 제도를 개선하더라도 체크리스트 수준에 그치지 말아야 한다는 지적도 있습니다 이에 대한 정부의 생각은
A ISMS 프로그램에 실제 심사를 하는 기관은 6곳이 있습니다 심사기관들이 각각 기준을 갖고 있는데 CISO 투자 및 시스템 점검 권한 등에 대한 내용이 담겨 있습니다
ISMS가 실효성 있는 제도로 작동하고 실제 정보보호 수준을 평가할 수 있는 제도로 나아가도록 개선하겠다
여기에는 공공 금융 통신 등 정보기술 시스템 1600여개를 대상으로 보안 취약점 점검을 실시하고 반복적으로 사고를 낸 기업에게 징벌적 과징금을 부과하는 내용이 담겼습니다 보안사고가 발생한 기업이 신고를 하지 않더라도 정부 차원의 직권 조사도 가능해집니다 정보보호 공시 의무 기업을 상장사 전체로 확대하는 방안도 추진합니다 다만 보안 투자를 유도할 인센티브 제도와 중장기적인 계획은 이번 종합대책에 포함되지 않았습니다 이와 관련해 배 부총리는 12월 안으로 국가사이버안보전략계획을 수립하고 발표하겠다 고 예고했습니다
여기에는 사고 예방과 보안 거버넌스 체계에 대한 중장기 전략이 담길 전망입니다 국가정보원은 미국 보안전문지 프랙 이 입수한 정보를 사전에 얻지 못했다는 비판에 대해 사이버위협인텔리전스 도구가 미흡했다는 점을 인정한다 고 답했습니다 국정원은 인공지능 기술 기반 차세대 사고 조사 도구를 관련 부처에 정식 배포해 대응 역량을 높이도록 지원할 방침입니다 금융당국은 롯데카드 사고를 계기로 금융권 보안체계를 재점검하겠다고 밝혔습니다 그간 중복규제를 이유로 정보보호 공시 의무대상에 금융사가 포함돼 있지 않았지만 상장하지 않은 소형금융회사까지 보안투자 공시를 이행하도록 법안을 발의할 계획입니다
다음은 배경훈 부총리 류제명 과기정통부 2차관 김창섭 국정원 3차장 이용석 행안부 디지털정부혁신실장 신진창 금융위 사무처장 이정렬 개인정보위 사무처장과의 일문일답 일부 Q 징벌적 과징금은 어떤 방식으로 부과되나
A 개인정보와 금융과 관련된 이슈의 경우 전체 매출액 3 를 과징금으로 부과할 수 있습니다 정보통신망법 차원에서도 그 정도의 과징금을 부과할 수 있도록 정책 연구를 진행하고 있습니다
영국의 경우 정보보호 이슈가 있을 때 관련 매출의 10 를 부과한 사례가 있습니다 종합적인 해외 사례와 정책 연구를 통해 적절한 징벌적 과징금 범위와 강도를 정하겠다 금융위 소관 신용정보법을 보면 정보 유출에 따른 피해를 피해자가 입증하는 것이 아닌 과실 여부를 금융회사가 입증하도록 전환돼 있습니다
손해배상액을 다섯 배까지 올리는 징벌적 손해배상제도도 현행 법에 포함돼 있습니다 전자금융거래법에 과징금 제도가 매출액 3 등 사안별로 분류돼 있는데 전반적으로 수준을 높이려는 계획을 갖고 있습니다 징벌적 과징금 제도를 도입하는 입법 조치는 전자금융거래법 개정이 필요합니다 개정안은 조만간 발의해 이번 정기 국회에 논의될 수 있도록 하겠다 광주 금호지구 대광로제비앙
Q 그간 모의해킹과 같이 많은 대책이 있었다 해킹 사고가 연이어 발생했습니다
이전 대책에서 부족한 점은 무엇이었나 A 과거에는 사고가 발생한 서버를 위주로 침투 경로를 파악하는 접근 방법을 활용했습니다 1600여개 시스템을 점검하겠다는 계획은 모든 인터넷 연결 지점에 침투 가능성이 있다는 전제를 깔겠다는 것과 같습니다 기존에는 해킹과 같은 보안 사고가 발생하면 신고를 하지 않을 경우 조사를 할 수 없었습니다
정보보호 평가를 받고 투자와 인력에 대해 의무공시를 하는 것도 큰 차이점입니다 투자를 늘려 안전한 정보보호 체계를 만들고 소비자가 안심하고 서비스와 제품을 이용하도록 하겠다 Q 징벌적 과징금과 같이 처벌 에 집중한 대책만 꾸린 것 아닌가 인센티브 제도에 대한 고려사항은
A 적극적으로 보안에 투자하는 기업에게 인센티브를 제공하는 방안을 만들겠다 세제 지원 등에 대한 방법은 추후 종합대책을 고도화할 때 추가적으로 논의하겠다 지금은 사전예방을 고민하는 것도 중요하지만 현재 이슈를 막기 위해 어떤 작업이 필요한지 고민할 때다 필요한 점은 단계적으로 파악해 인센티브 방안을 포함해 발표하겠다
Q 그간 금융사는 중복규제를 이유로 정보보호 공시 의무 대상이 아니었습니다 이번 대책을 통해 전체 상장사가 공시 의무 대상이 됐는데 금융사도 포함되나 A 금융회사 중에도 상장을 완료한 곳이 많다
그러나 소형금융회사는 상장돼 있지 않습니다 금융권은 대귝민 금융서비스에 보안이 직결된 만큼 전자금융거래법 개정 작업에 공시 대상을 비상장회사까지 포함하는 법안을 발의할 예정입니다 정보보호 공시제도 대상을 확대하는 안은 내년 상반기부터 적용됩니다 Q 최근 국정원을 대상으로 CTI 역량이 충분하지 않다는 지적이 제기됐습니다
추후 고도화 계획이 있나 A 기존 CTI 도구가 많이 미흡했다는 이야기가 있는데 인정합니다
특히 기존에 알고 있는 취약점 외에 새로운 취약점이 계속 발견되고 있는 점도 사실입니다 늘 뒤따라가면서 사고 조사를 하는 수동적인 방어 패턴에서 일해온 것도 맞다 해당 부분에 있어 적극적이고 능동적으로 사고에 대응할 수 있게끔 도구를 개선하겠다
국정원은 차세대 사고 조사 도구를 개발해왔고 올해 6월부터 시범적으로 일부 기관에 활용을 시작했습니다 해당 도구는 AI 기능을 탑재해 침해 흔적을 채집하고 취약점을 자동 분석할 수 있습니다 구미 원호자이 더 포레
곧 정식으로 관련 부처에 배포할 계획입니다 Q 기업 최고경영자 뿐만 아니라 정보보호최고책임자 와 개인정보보호책임자 권한을 강화하고 책임을 명문화하겠다고 밝혔습니다
정부시스템도 공격을 당한 만큼 책임이 있다고 생각하지 않는가 A 정부도 해킹 이슈에 자유롭지 않다는 점을 인정합니다 그렇기 때문에 민관과 전문가가 함께 고민해야 하는 상황입니다 정부는 올해보다 7
7 증가한 4012억원을 정보보호 예산으로 편성하는 등 책임을 다하겠다 Q 이번 보안점검이 자칫 불법적인 불시 점검이 될 가능성은 없나 A 통신3사 점검의 경우 사전에 동의를 완료해 진행하게 됐습니다
불필요한 오해를 없애기 위해 관련 내용도 법제화하겠다 아울러 화이트해커가 공익적 활동을 할 수 있도록 관련 안도 긍정적으로 검토 중입니다 다양한 모의훈련이나 모의해킹 등 시뮬레이션도 진행하고 있습니다
이를 강화할 수 있는 방안을 고민하고 추진하도록 하겠다 Q 보안 사고를 종합적으로 관리할 통합 컨트롤타워를 세울 계획은 없나 A 현재 총 컨트롤타워는 국가안보실입니다
그리고 공공으로 특정하면 국가사이버위기관리단이 있고 민간에는 과기정통부가 그 역할을 합니다 그러나 민간과 공공이 협업해야 하는 일도 있습니다 이러한 부분에 있어 국정원과 과기정통부가 협업하도록 하겠다
Q 정보보호관리체계 제도를 개선하더라도 체크리스트 수준에 그치지 말아야 한다는 지적도 있습니다 이에 대한 정부의 생각은
A ISMS 프로그램에 실제 심사를 하는 기관은 6곳이 있습니다 심사기관들이 각각 기준을 갖고 있는데 CISO 투자 및 시스템 점검 권한 등에 대한 내용이 담겨 있습니다
ISMS가 실효성 있는 제도로 작동하고 실제 정보보호 수준을 평가할 수 있는 제도로 나아가도록 개선하겠다
