정부가 반복되는 해킹 사고로 인한 국민 불안을 해소하고 정보보호 정책의 실효성을 높이기 위해 소비자 피해 구제와 기업의 자율적 보안 강화를 동시에 겨냥한 추가 대책을 내놨다.
정부는 28일 제4회 과학기술관계장관회의를 열고 '제2차 정보보호 종합대책(안)'을 발표했다.
이는 지난해 10월 수립된 1차 대책을 보완해 이용자 보호와 민간 참여를 강화한 후속 대책이다. 정부는 전방위적인 디지털 전환과 인공지능(AI) 확산으로 해킹 위협이 고도화되고 있는 만큼 보완이 필요하다고 판단했다.
2차 대책은 소비자에 대한 실질적인 배상이 부족하고 민간의 자발적 보안 투자를 유도할 장치가 미흡하다는 외부 지적을 반영했다.
이번 대책의 핵심은 소비자 피해 구제 체계의 실질화다. 대규모 침해사고가 발생할 때마다 피해가 고스란히 이용자에게 전가됐다는 비판이 정책 설계에 영향을 미친 것으로 보인다.
정부는 침해사고로 인한 개인정보 유출뿐 아니라 서비스 장애, 계정 탈취 등으로 발생하는 소비자 피해 전반을 대상으로 분쟁조정 체계를 도입할 계획이다. 해킹·침해사고 피해를 법원 소송 이전 단계에서 공적 절차로 해결하도록 하는 소비자 구제 장치를 만들겠다는 의미다. 또 개인정보 유출 '가능성'이 확인되면 사업자가 이용자에게 이를 즉시 통지하도록 하고, 통지 항목에 손해배상 청구 방법 등 구체적인 권리 행사 정보까지 포함하도록 한다.
기업을 대상으로는 자율적 보안 강화를 유도하는 정책 수단을 확대한다. 정부는 화이트해커 등을 활용해 기업이 스스로 취약점을 공개하고 개선하는 제도를 도입·확대하도록 한다. 이를 위해 취약점 신고 절차와 면책 조건 등 기준을 마련할 예정이다. 아울러 처벌 중심의 규제 중심에서 벗어나 기업 개선 노력에 대한 인센티브를 마련해 민간에서의 선제 대응을 끌어낸다는 구상이다.
인공지능(AI)과 데이터 보안도 주요 과제로 제시됐다. 정부는 AI를 인프라, 서비스, 에이전트 등 분야별로 구분해 보안 모델을 개발하고, AI 레드팀을 본격 운영해 AI 시스템 전반의 취약점 점검에 나선다. 또 국가기관과 기업이 보유한 중요 데이터를 암호화하도록 기반시설 점검 규정과 인증 기준(ISMS)도 개정할 방침이다.
디지털 환경 변화에 대응해 제품 보안의 범위도 확대된다. 정부는 대다수의 제품·서비스가 디지털 요소를 포함함에 따라 IT 제품·서비스를 넘어 일반 제품을 대상으로 한 보안 정책도 도입한다. 설계 단계부터 보안을 고려하고 제품 수명주기 전반에 걸쳐 취약점 관리와 보안 업데이트를 강화하는 방향이다.
1차 대책 사항들은 개인정보보호법 개정 등을 통해 이행 중에 있다. △침해사고에 대한 정부의 현장 조사 권한 확대 △해킹 지연 신고와 재발 방지 미이행에 대한 과징금·과태료 상향 △최고경영자(CEO) 보안 책임 명문화와 보안최고책임자(CISO·CPO) 권한 강화 등이다.
박진형 기자 jin@etnews.com
