“자율신고 한계 넘어 실질 제재로”
정부, 통신·금융 등 민간 전반 보안체계 강화

정부가 해킹 사고가 잇따르는 기업을 대상으로 징벌적 과징금을 도입하고, 신고 없이도 현장 조사를 가능하게 하는 범정부 차원의 보안대책을 내놨다. 22일 과학기술정보통신부를 비롯한 관계 부처는 ‘정보보호 종합대책’을 발표하며 민간·공공 전반의 IT 시스템 1천600여 개를 점검하고, 반복되는 해킹에 대한 실질적 제재에 나서겠다고 밝혔다.

◆ ‘자율신고제 한계’ 지적에 강력 제재로 전환

정부는 그동안 해킹 사고 발생 시 기업의 자율신고에 의존하던 제도를 근본적으로 손보기로 했다. 해킹 정황이 확보되면 기업 신고 없이도 현장 조사를 개시할 수 있게 제도를 개편한다. 신고 지연이나 은폐, 재발 방지 미이행 시에는 매출액 기준의 징벌적 과징금을 부과할 수 있는 근거를 마련한다. 현행 정보통신망법상 침해사고 발생 후 24시간 이내 신고 의무를 어긴 사례가 잇따르자 제도 실효성에 의문이 제기된 데 따른 조치다.

한국인터넷진흥원(KISA)에 따르면 2024년 한 해 동안 해킹·침해사고 신고 건수는 3,122건으로, 이 중 18%가 법정 신고기한(24시간)을 초과했다. 특히 금융권에서 지연 신고 비율이 22%로 높게 나타났다. 정부는 반복 위반 기업을 대상으로 이행 강제금과 과징금을 병행 부과할 방침이다.

OECD 2023년 ‘디지털보안 거버넌스 리뷰’에 따르면 회원국의 70%가 위반 기업에 대해 징벌적 제재를 도입했다. 미국은 2023년부터 SEC 규정을 통해 4일 내 사고 공개 의무를 부과하고, 유럽연합은 ‘NIS2 지침’으로 최대 매출의 2%까지 과징금을 부과하고 있다. 정부는 이러한 해외 기준을 참고해 국내 제도 설계에 반영할 계획이다.

◆ 통신·금융 등 핵심 인프라 24시간 점검

정부는 통신·금융·에너지 등 주요 정보통신기반시설을 상시 모니터링하는 체계를 강화하기로 했다. 국정원 산하 국가사이버위기관리단을 중심으로 공공기관과 민간기업이 공동 대응하는 구조를 마련한다. 과기정통부는 주요 통신사의 핵심 설비와 소형 기지국(펨토셀)까지 보안 안정성을 전수 조사하고, 불법 결제에 악용된 장비는 즉시 폐기 조치하기로 했다.

AI 기반 지능형 포렌식실 구축도 추진된다. 정부는 국정원의 분석 도구를 민간과 공동 활용해 사이버 침해 분석 기간을 기존 14일에서 5일로 단축하겠다는 목표를 세웠다. 과기정통부 2024년 보도자료에 따르면 올해 기준 공공·금융·통신 분야의 IT 자산은 총 1,640개로, 이 중 62%가 민간 위탁 형태로 운영되고 있다. 이들 시스템을 대상으로 실시간 로그 수집·AI 분석 기능이 확대 적용될 예정이다.

보안 전문가들은 AI 포렌식이 초기 대응 속도뿐 아니라 증거 보존의 효율성도 높일 것으로 본다. 한국정보보호산업협회(KISIA)는 “AI 분석 도입 시 해킹 사고 원인 규명 시간이 평균 63% 단축된다”고 분석했다. 다만, 개인정보 식별 정보가 AI 학습 과정에 포함될 경우 프라이버시 침해 논란이 발생할 수 있어, 기술적·법적 보완이 병행돼야 한다는 지적도 있다.

정부는 내년부터 공공·민간 보안관제센터 간 통합 경보 체계를 운영한다. 각 기관별로 흩어져 있던 로그 데이터와 위협 정보를 통합 관리해 중복 대응을 줄이는 것이 목표다.

◆ 업계 “경찰권 남용 우려”…자율 유인책 병행 필요

한편 업계에서는 정부의 조사권 확대가 자칫 경찰권 남용으로 이어질 수 있다는 우려도 제기된다. IT업계 관계자들은 민간 영역에 대한 정부의 직접 조사 시 기업 평판 리스크와 정보유출 위험이 커질 수 있다고 지적한다. 실제로 일부 통신사에서는 조사 결과 해킹이 아니라고 판정돼도 사회적 신뢰 손상이 불가피하다는 입장을 보였다.

한국정보보호산업협회는 2025년 1월 간담회에서 “조사권 확대는 필요하지만, 민간기업에 대한 조사 내용 공개는 신중해야 한다”고 밝혔다. 또한 조사 결과의 투명성 확보를 위해 경찰·정보기관의 직접 개입 대신 전문 조사단 중심의 운영이 바람직하다고 제언했다.

정부는 자율 보안 투자를 유도하기 위해 세제 인센티브를 병행한다. 기획재정부 2024년 세제개편안에 따르면 정보보호 투자에 대한 세액공제율을 5%에서 10%로 상향하고, 중소기업의 경우 최대 12%까지 확대할 예정이다. 과기정통부 관계자는 “처벌이 목적이 아니라 구조적 예방이 핵심”이라며, 상장사 전체에 정보보호 공시 의무를 확대해 보안 역량 수준을 등급화해 공개할 계획이라고 밝혔다.

또한, 보안 우수기업에는 정부조달 참여 가점과 R&D 지원 우대가 부여된다. 전문가들은 “인센티브 중심의 구조가 있어야 기업이 신고를 피하지 않고 신속히 대응할 것”이라고 강조한다.

◆ 국제 공조 강화, AI 기반 보안 협력 확대

정부는 한·미·EU 간 사이버정책협의체를 통해 데이터 보호와 해킹 대응 공조를 강화한다. 내년부터는 AI 기반 공격 탐지 기술을 공동 연구하는 ‘사이버보안 글로벌 얼라이언스’를 신설할 예정이다. OECD 2024년 ‘디지털경제정책보고서’에 따르면 회원국의 62%가 사이버보안 대응에서 인공지능 기술을 활용 중이며, 한국도 이 추세에 적극 동참하고 있다.

유럽연합(EU)의 ‘사이버레질리언스법(CRA)’이 2026년부터 본격 시행되면, 한국 기업들도 수출 제품의 보안 기준을 EU 수준으로 맞춰야 한다. 미국 사이버보안청(CISA)은 2024년 11월부터 클라우드 기반 위협 정보 공유를 의무화해 국제 협력의 수준을 한층 높였다. 이에 따라 국내 기업의 글로벌 인증 대응 필요성이 커지고 있다.

정부는 이러한 흐름에 맞춰 2025년부터 ‘AI 보안 스타트업 30개사 육성 프로젝트’를 추진하고, 보안 전문 인력(화이트해커) 500명 양성을 목표로 교육 프로그램을 강화할 예정이다. KISA는 이를 통해 연간 1,200명 이상의 신규 인력을 보안 분야에 공급할 수 있을 것으로 전망한다.

또한, 아시아·태평양 지역을 중심으로 한 다자간 협의체(APCERT)와의 협력도 확대된다. 한국은 올해 공동의장국으로서 ‘사이버 위협 정보 실시간 교환 플랫폼’ 구축을 주도할 계획이다.

◆ 보안산업 생태계 강화와 제도 일관성 과제

전문가들은 이번 대책이 단기 대응을 넘어 중장기적 산업 생태계 강화로 이어져야 한다고 강조한다. KISIA 통계에 따르면 국내 보안산업 시장 규모는 2023년 기준 약 13조 원으로, 전체 ICT 산업의 3%에 불과하다. 정부는 공공조달 확대와 기술 인증 지원을 통해 중소 보안기업의 시장 진입을 유도하겠다고 밝혔다.

중소벤처기업부 2024년 ‘정보보호산업 육성 계획’에 따르면, 내년까지 공공기관 보안 제품 구매 비중을 40%에서 55%로 확대할 예정이다. 이를 통해 중소기업 200여 개사의 신규 진입이 예상된다. 전문가들은 기술 인증 체계 개선과 장기 계약 확대가 병행돼야 실질적 성장이 가능하다고 본다.

또한, 국내 제도의 일관성 확보가 관건이다. 민간의 보안투자가 일시적 규제 대응에 그치지 않으려면, 제재와 지원을 균형 있게 설계해야 한다. 2024년 국제표준화기구(ISO)가 발표한 ‘정보보호관리체계(ISO 27001:2024)’ 개정판은 보안 거버넌스의 지속가능성을 강조한다. 이에 맞춰 국내 인증 제도도 국제 표준에 부합하도록 개선해야 한다는 지적이 제기된다.

전문가들은 “AI·클라우드 확산 등 글로벌 환경 변화에 부합하지 않은 물리적 망 분리 규정은 데이터 중심으로 전환할 필요가 있다”며 “보안 규제의 방향이 혁신을 저해하지 않도록 균형 잡힌 접근이 필요하다”고 조언한다.

☑️ 요약:
정부는 반복되는 해킹 사고에 대응해 신고 의무 강화와 징벌적 과징금 등 실질 제재로 방향을 전환했다. 업계는 조사권 남용 가능성과 기업 부담을 우려하지만, 정부는 AI 보안기술과 국제공조 강화로 대응체계를 고도화하고 있다. 향후 과제는 제재와 인센티브의 균형, 국제 표준에 부합한 산업 생태계 강화다.