로그인회원가입
SW SW

[시큐리티 메가비전 2026]정보보호, '사후 대응→상시 관리' 전환…AI 시대 국가 전략으로

전자신문이 주최한 '시큐리티 메가비전 2026'이 '사이버 시큐리티 패러다임 대전환'을 주제로 4일 서울 서초구 엘타워에서 열렸다. 지은경 과학기술정보통신부 과장이 '2차 정보보호 종합대책 주요 내용'을 주제로 특별강연을 하고 있다. 김민수기자 mskim@etnews.com
전자신문이 주최한 '시큐리티 메가비전 2026'이 '사이버 시큐리티 패러다임 대전환'을 주제로 4일 서울 서초구 엘타워에서 열렸다. 지은경 과학기술정보통신부 과장이 '2차 정보보호 종합대책 주요 내용'을 주제로 특별강연을 하고 있다. 김민수기자 mskim@etnews.com

정부가 통신·플랫폼·금융 등 국민 생활과 밀접한 분야에서 해킹 사고가 반복되자, 단기 응급처방을 넘어 사전 예방과 상시 관리 중심의 대응 체계로 전환에 나선다. 연이은 대규모 침해사고에 대응해 지난해 10월 1차 정보보호 대책을 내놓은 지 3개월 만인 지난달 2차 대책을 내놓으며 이 같은 의지를 피력했다.

과학기술정보통신부는 4일 서울 엘타워에서 열린 전자신문 주최 '시큐리티 메가비전 2026'을 통해 1차 대책 이행 현황과 2차 정보보호 종합대책 주요 추진과제를 상세히 공개했다.

1차 대책은 국가안보실을 중심으로 관계부처가 수립한 긴급 대응책이다. 이후 정부는 민간기업 949개, 금융권 261개, 공공부문 149개 기관과 288개 시스템을 대상으로 점검을 진행하고, 미흡 사항에 대한 개선을 요청했다.

17건의 법 개정도 추진 중에 있다. 이를 통해 침해사고 미신고 과태료를 최대 5000만원으로 상향하고, 개인정보 유출에 따른 과징금을 매출액의 최대 10%로 높인다는 계획이다. 아울러 최고경영자(CEO)의 보안 책임을 명문화하고 최고보안책임자(CISO) 권한도 강화한다.

지은경 과학기술정보통신부 정보보호기획과장은 “1차 정보보호 종합대책을 통해 정보통신망법과 개인정보보호법 등의 개정을 추진하고 있다”며 “침해사고 대응과 조사가 가능하도록 관련 제도를 지속적으로 개선하고 있다”고 말했다.

전자신문이 주최한 '시큐리티 메가비전 2026'이 '사이버 시큐리티 패러다임 대전환'을 주제로 4일 서울 서초구 엘타워에서 열렸다. 지은경 과학기술정보통신부 과장이 '2차 정보보호 종합대책 주요 내용'을 주제로 특별강연을 하고 있다. 김민수기자 mskim@etnews.com
전자신문이 주최한 '시큐리티 메가비전 2026'이 '사이버 시큐리티 패러다임 대전환'을 주제로 4일 서울 서초구 엘타워에서 열렸다. 지은경 과학기술정보통신부 과장이 '2차 정보보호 종합대책 주요 내용'을 주제로 특별강연을 하고 있다. 김민수기자 mskim@etnews.com

지난달 발표한 2차 대책에는 기업 책임을 명확히 하고 소비자 보호를 강화하는 방안이 담겼다.

정부는 침해사고로 인한 개인정보 유출 피해에 손해배상이 실질적으로 이뤄지도록 '미국식 집단소송제도' 도입을 검토한다. 판결 효력이 소송에 참여하지 않은 동일 피해자에게도 적용되도록 하는 방식이다. 개인정보 유출 외 해킹으로 인한 서비스 장애 등 피해에 대해서도 분쟁조정 제도를 도입한다.

개인정보 유출 가능성이 있는 경우에는 유출 여부가 확인되기 전이라도 이용자에게 통지하도록 의무화한다. 통지 항목에는 분쟁조정 신청과 손해배상 청구 관련 내용이 포함된다. 유출이 발생하면 개인정보 삭제·차단·회수 등 피해 확산 방지 조치도 강화한다.

기업의 자발적인 정보보호 투자 유도 방안도 함께 담겼다. 개인정보보호법상 안전조치 의무 수준을 넘어 인력·예산·설비·장치 등에 투자한 기업에 대해서는 과징금을 경감할 계획이다.

해킹 대응 체계도 전환한다. 민·관 전반의 사이버 위협 탐지·대응 체계는 인공지능(AI) 기반 시스템으로 전환하고, AI 레드팀 운영을 통해 보안 취약점을 발굴·분석한다. 기관과 기업이 중요 데이터를 암호화하도록 기반시설 점검 규정과 인증기준(ISMS) 개정도 추진한다. 개인정보 불법 유통에 대한 처벌 근거를 신설하고, 유통 채널인 다크웹에 대한 모니터링도 확대한다.

이와 함께 생활 밀착 분야에 대한 보안 강화 방안도 담겼다. 정부는 사생활과 밀접한 제품과 플랫폼을 대상으로 보안 실태 점검을 강화하고, 온라인 플랫폼 접속 시에는 추가 인증 수단 적용을 권고한다.

중소기업 대상 정보보호 지원 사업은 지난해 400개에서 올해 500개사로 확대한다. 보안 점검을 위한 훈련 플랫폼을 확대·개편하고, 사고 예방을 위한 기술 지원 서비스도 제공한다. 디지털 요소를 포함한 모든 제품은 설계 단계부터 보안을 고려하도록 정책을 마련하고, 국가 사업 기획과 과제 선정 단계에서는 보안 요소를 필수적으로 반영하도록 체계를 개선한다.

지 과장은 “AI로 촉발된 정보보호 환경 변화에 대응해 AI 서비스와 모델에 대해 보안성을 사전에 확보하고, 상시 관리할 수 있는 체계를 구축해 나가겠다”고 말했다.

전자신문이 주최한 '시큐리티 메가비전 2026'이 '사이버 시큐리티 패러다임 대전환'을 주제로 4일 서울 서초구 엘타워에서 열렸다. 이원태 국민대 특임교수가 '지능형 보안 체계로의 이행: 인공지능 보안의 기본 방향과 핵심 과제'를 주제로 초청강연을 하고 있다. 김민수기자 mskim@etnews.com
전자신문이 주최한 '시큐리티 메가비전 2026'이 '사이버 시큐리티 패러다임 대전환'을 주제로 4일 서울 서초구 엘타워에서 열렸다. 이원태 국민대 특임교수가 '지능형 보안 체계로의 이행: 인공지능 보안의 기본 방향과 핵심 과제'를 주제로 초청강연을 하고 있다. 김민수기자 mskim@etnews.com
전자신문이 주최한 '시큐리티 메가비전 2026'이 '사이버 시큐리티 패러다임 대전환'을 주제로 4일 서울 서초구 엘타워에서 열렸다. 김창훈 대구대 교수가 'AI 국가를 위한 사이버보안체계설계'를 주제로 초청강연을 하고 있다. 김민수기자 mskim@etnews.com
전자신문이 주최한 '시큐리티 메가비전 2026'이 '사이버 시큐리티 패러다임 대전환'을 주제로 4일 서울 서초구 엘타워에서 열렸다. 김창훈 대구대 교수가 'AI 국가를 위한 사이버보안체계설계'를 주제로 초청강연을 하고 있다. 김민수기자 mskim@etnews.com

학계에서도 AI 시대에 맞는 정보보호 정책 전환이 필요하다는 제언이 나왔다.

이원태 국민대 특임교수는 반복되는 침해사고에 대응하려면 사후 대응 중심 보안에서 지능형·예방형 AI 보안체계로 전환해야 한다고 밝혔다. AI 보안과 AI 안전을 통합한 국가 차원의 관리체계를 구축하고, 고위험 AI에 대해서는 평가·인증·사고 보고를 단계적으로 강화하자고 제안했다.


김창훈 대구대 교수는 AI 모델 보호에 머무르지 않고 AI 자산 목록 관리와 변경 통제, 인간 승인과 권한 분리를 포함한 운영 중심의 보안 체계를 정착시키는 한편, 생성형 AI로 대량화되는 피싱·딥페이크 공격에 대비해 신원·접근관리(IAM) 강화와 다중 승인, 위협 인텔리전스 공유(CTI) 체계 등을 함께 구축해야 한다고 조언했다.

2차 정보보호 종합대책 주요 내용 - 2차 정보보호 종합대책 주요 내용
2차 정보보호 종합대책 주요 내용 - 2차 정보보호 종합대책 주요 내용

박진형 기자 jin@etnews.com