[3줄 요약]
1. 국정원 해킹 대응 역량 민간 활용 언급…“AI 도구 부처 공유”
2. “컨트롤타워는 국가안보실”...파편화된 해킹 조사 체계화
3 통신사 불시 점검, 정보보호 공시 대상 확대, 직권조사권 강화 등
[보안뉴스 강현주 기자] 국가정보원이 정부와 기업을 아울러 국가 사이버 위협 대응을 위한 역량 강화 및 역할을 확대한다. 그 일환으로 AI를 활용해 사이버 위협 대응을 고도화한다. 또 국정원 산하 민관군 합동 조직으로 주요정보통신기반시설의 해킹 조사 주체를 일원화한다.
22일 과기정통부, 금융위원회. 개인정보보호위원회, 국가정보원, 행정안전부 등은 합동으로 정부 서울 청사에서 브리핑을 열고 범부처 정보보호 종합대책을 발표했다. 민간과 공공을 아우르는 이번 대책은 현재 사안의 시급성을 고려해 즉시 실행할 수 있는 단기과제 위주다. 중장기 과제를 망라하는 ‘국가 사이버안보 전략’은 연내 수립할 계획이다.
▲범부처 정보보호 종합대책 브리핑 현장 [자료: 과기정통부]
이번 대책에는 국정원의 조사·분석 도구를 민간과 공동 활용한다는 내용이 포함됐다. 또 국정원 산하 민관군 합동조직인 ‘국가사이버위기관리단’을 통해 원스톱 신고 체계를 도입, 부처별로 파편화된 해킹 사고 조사 과정을 체계화해 현장 혼선을 최소화한다.
이 날 대책 발표에 참석한 김창섭 국정원 3차장은 “국정원이 차세대 사고 조사 도구를 개발해 시범적으로 몇 개 기관에 도입했다”며 “AI 기능을 탑재해 침해 흔적을 비교적 용이하게 채집하고 취약점을 자동으로 분석하는 도구를 곧 정식으로 관련 부처에 배포할 예정”이라고 밝혔다.
다만 이 도구를 민간 기업에도 공유하는 방안에 대해서는 “사이버 위협 인텔리전스(CTI) 사업을 하는 기업들의 비즈니스에 지장을 줄 수 있다는 점을 감안해 신중할 일”이라고 답했다.
이번 대책은 △공공·금융·통신 1600개 시스템 취약점 즉시 점검 △실제 해킹 방식으로 통신사 불시 점검 실시 △ISMS 등 보안 인증제도를 현장 심사 중심으로 전환 △소비자 중심 피해구제 체계 구축 △금융·공공 강제 소프트웨어 설치 단계적 제한 및 다중인증·AI 기반 이상 탐지 시스템 활용 △정보보호 공시 의무 기업을 상장사 전체인 2700개로 확대 △SW구성요소(SBOM) 제출 2027년까지 제도화 △AI 에이전트 보안 플랫폼 등 차세대 보안 기업 집중 육성 △화이트해커 양성 체계 기업 수요로 재설계 △민관군 합동 조직 국정원 산하 국가사이버위기관리단 가동 등이 골자다.
특히 국가안보실을 중심으로 관계부처 합동으로 민간과 공공을 아우르는 범부처 정보보호 종합대책을 내놓았다는 점에서 의미있다는 설명이다.
[다음은 부처 합동 일문일답]
Q. 국정원이 조사와 분석 도구를 민간 기업에게 공유한다고 하셨는데 자체적 탐지를 하려면 CTI를 고도화해야 할텐데
국정원이 차세대 사고 조사 도구를 개발해 시범적으로 몇 개 기관 활용하고 있다. AI 기능을 탑재해서 침해 흔적을 비교적 용이하게 채집하고 취약점을 자동으로 분석할 수 있는 도구들로 개발해서 곧 정식으로 관련 부처들에 배포할 예정이다. 기존 CTI가 미흡했다면 인정한다. 수동적 방어 패턴에서 앞서서 능동적으로 사고 대응할 수 있게 도구를 개선 중이다.
Q. 이 도구를 민간 기업에도 공유할 계획인지
국정원이 민간에 이를 공개하면 사이버 위협 인텔리전스(CTI) 사업을 하는 기업들의 비즈니스에 지장을 줄 수 있다는 점도 감안해 신중히 검토해야 할 일이다.
Q. ISMS 실효성 개선을 위한 모의해킹 도입 등은 ‘체크리스트 하나 더 늘린다’는 회의적인 시각도 있는데
ISMS를 심사하는 6개 기관이 있고, 심사 기관들이 각각 기준을 갖고 있는데, CISO가 있는가, CISO가 컨트롤하는 권한이 어디까지인가 등까지 봐야 할 것이다. 점검 항목들이 100이라면 CISO와 CPO가 다 검증이 가능한지, 50%만 검증할 수 있는데 CISO가 있다 해서 100점으로 부여하고 있는지 등의 기준들을 구체적으로 잡아보겠다. 정보보호에 있어서 ISMS, ISMS-P를 받으면 충분히 어느 정도 보안인증이 됐구나 할 수 있는 수준으로 개선할 계획이다.
Q. 민간은 과기정통부가, 공공은 국정원이 컨트롤타워를 맡고 있는데, 또 사고 나면 지금처럼 혼선이 없겠나
총 컨트롤타워는 국가안보실이다. 전반적인 공공 영역은 국가사이버위기관리단이 실행 주체며 민간은 과기정통부의 역할이다. 다만 국정원과 과기정통부가 협업할 수 있다. 행안부 온나라시스템 해킹 사고 때엔 7월 14일 국정원이 협조 채널을 통해 미리 정보를 입수한 다음 바로 정보를 공유했다. 실질적 사고 조사에 있어서도 국사단을 통해 합동으로 지금 조사 중에 있다. 거버넌스에 관해서는 우려가 좀 있을텐데, 그 부분은 국가안보실을 중심으로 11월이나 12월에 개선안을 더 담아 발표할 예정이다.
Q. 통신사 불시점검에 대한 법적 우려는 없는지, 기업들과 사전 논의는 진행했는지
동의 없이 불법 점검은 하지 않고 합의를 통해 점검하고 있다. 오해를 없애기 위해 법제화 해나간다. 통신 3사와 합의해 화이트해커를 통해 시뮬레이션을 해보고 있다.
Q. 1600개 기업 즉시 취약점 점검 결과에 따라 기업들에게 징벌이 내려질 수도 있나
점검의 목적이 징벌이 아니고 어디가 취약한가 찾아 실태를 빠르게 파악하려는 목적이다. 드러난 문제에 따라 예산을 확보하고 어떻게 대응할지 빠르게 파악하겠다.
Q. 정보보호 공시 확대 방침이 해외 플랫폼 기업에도 적용되는지, 과징금은 해외 기업 매출은 불명확해서 산정 기준도 불명확할 수 있지 않나
정보보호 공시는 해외 플랫폼 기업에도 동일하게 적용할 것이다. 해외 기업 과징금은 의결한 사례가 있고, 동일하게 적용돼 엄정하게 처벌한다.
Q. 정부도 해킹을 당했는데, 기업에만 징벌적 과징금 강화 등 책임을 묻는 것 같다
정부도 책임에서 자유롭지 않다. 부족했던 부분들 하나씩 얘기해 나가고 있다. 거버넌스 측면에서는 국가안보실 중심으로 하지만 각 부처가 문제 해결 주체로서 책임감 가지고 대책을 수립하고 있고 투자할 부분은 적극 투자하겠다. 12월 발표할 중장기 대책들도 한번에 끝나진 않을 것이다. AI를 통한 대응 노력도 하고 있다. 기업에 징벌뿐 아니라 인센티브도 강화할 것이다.
Q. 당초 9월 말 종합대책 발표 계획이었는데, 어떤 난제로 지연된 것인가
5개 부처 중심으로 했고, 통신, 금융, 공공 부문에서도 이슈 있었기 때문에 점검 항목이 많았다. 국정원, 금융위, 행안부 개인정보위뿐 아니라 국방부와 유관 부서들과 같이 논의해 종합적 대책을 단기 및 중장기로 세우다 보니 늦어졌다. 그래서 지금 일어나고 있는 이슈 빠르게 대응하면서 주요 IT 시스템 1600개에 대해 빨리 점검을 하고, 12월 안으로 국가사이버안보전략 계획도 수립하고 발표하겠다.
[강현주 기자(jjoo@boannews.com)]
1. 국정원 해킹 대응 역량 민간 활용 언급…“AI 도구 부처 공유”
2. “컨트롤타워는 국가안보실”...파편화된 해킹 조사 체계화
3 통신사 불시 점검, 정보보호 공시 대상 확대, 직권조사권 강화 등
[보안뉴스 강현주 기자] 국가정보원이 정부와 기업을 아울러 국가 사이버 위협 대응을 위한 역량 강화 및 역할을 확대한다. 그 일환으로 AI를 활용해 사이버 위협 대응을 고도화한다. 또 국정원 산하 민관군 합동 조직으로 주요정보통신기반시설의 해킹 조사 주체를 일원화한다.
22일 과기정통부, 금융위원회. 개인정보보호위원회, 국가정보원, 행정안전부 등은 합동으로 정부 서울 청사에서 브리핑을 열고 범부처 정보보호 종합대책을 발표했다. 민간과 공공을 아우르는 이번 대책은 현재 사안의 시급성을 고려해 즉시 실행할 수 있는 단기과제 위주다. 중장기 과제를 망라하는 ‘국가 사이버안보 전략’은 연내 수립할 계획이다.
▲범부처 정보보호 종합대책 브리핑 현장 [자료: 과기정통부]
이번 대책에는 국정원의 조사·분석 도구를 민간과 공동 활용한다는 내용이 포함됐다. 또 국정원 산하 민관군 합동조직인 ‘국가사이버위기관리단’을 통해 원스톱 신고 체계를 도입, 부처별로 파편화된 해킹 사고 조사 과정을 체계화해 현장 혼선을 최소화한다.
이 날 대책 발표에 참석한 김창섭 국정원 3차장은 “국정원이 차세대 사고 조사 도구를 개발해 시범적으로 몇 개 기관에 도입했다”며 “AI 기능을 탑재해 침해 흔적을 비교적 용이하게 채집하고 취약점을 자동으로 분석하는 도구를 곧 정식으로 관련 부처에 배포할 예정”이라고 밝혔다.
다만 이 도구를 민간 기업에도 공유하는 방안에 대해서는 “사이버 위협 인텔리전스(CTI) 사업을 하는 기업들의 비즈니스에 지장을 줄 수 있다는 점을 감안해 신중할 일”이라고 답했다.
이번 대책은 △공공·금융·통신 1600개 시스템 취약점 즉시 점검 △실제 해킹 방식으로 통신사 불시 점검 실시 △ISMS 등 보안 인증제도를 현장 심사 중심으로 전환 △소비자 중심 피해구제 체계 구축 △금융·공공 강제 소프트웨어 설치 단계적 제한 및 다중인증·AI 기반 이상 탐지 시스템 활용 △정보보호 공시 의무 기업을 상장사 전체인 2700개로 확대 △SW구성요소(SBOM) 제출 2027년까지 제도화 △AI 에이전트 보안 플랫폼 등 차세대 보안 기업 집중 육성 △화이트해커 양성 체계 기업 수요로 재설계 △민관군 합동 조직 국정원 산하 국가사이버위기관리단 가동 등이 골자다.
특히 국가안보실을 중심으로 관계부처 합동으로 민간과 공공을 아우르는 범부처 정보보호 종합대책을 내놓았다는 점에서 의미있다는 설명이다.
[다음은 부처 합동 일문일답]
Q. 국정원이 조사와 분석 도구를 민간 기업에게 공유한다고 하셨는데 자체적 탐지를 하려면 CTI를 고도화해야 할텐데
국정원이 차세대 사고 조사 도구를 개발해 시범적으로 몇 개 기관 활용하고 있다. AI 기능을 탑재해서 침해 흔적을 비교적 용이하게 채집하고 취약점을 자동으로 분석할 수 있는 도구들로 개발해서 곧 정식으로 관련 부처들에 배포할 예정이다. 기존 CTI가 미흡했다면 인정한다. 수동적 방어 패턴에서 앞서서 능동적으로 사고 대응할 수 있게 도구를 개선 중이다.
Q. 이 도구를 민간 기업에도 공유할 계획인지
국정원이 민간에 이를 공개하면 사이버 위협 인텔리전스(CTI) 사업을 하는 기업들의 비즈니스에 지장을 줄 수 있다는 점도 감안해 신중히 검토해야 할 일이다.
Q. ISMS 실효성 개선을 위한 모의해킹 도입 등은 ‘체크리스트 하나 더 늘린다’는 회의적인 시각도 있는데
ISMS를 심사하는 6개 기관이 있고, 심사 기관들이 각각 기준을 갖고 있는데, CISO가 있는가, CISO가 컨트롤하는 권한이 어디까지인가 등까지 봐야 할 것이다. 점검 항목들이 100이라면 CISO와 CPO가 다 검증이 가능한지, 50%만 검증할 수 있는데 CISO가 있다 해서 100점으로 부여하고 있는지 등의 기준들을 구체적으로 잡아보겠다. 정보보호에 있어서 ISMS, ISMS-P를 받으면 충분히 어느 정도 보안인증이 됐구나 할 수 있는 수준으로 개선할 계획이다.
Q. 민간은 과기정통부가, 공공은 국정원이 컨트롤타워를 맡고 있는데, 또 사고 나면 지금처럼 혼선이 없겠나
총 컨트롤타워는 국가안보실이다. 전반적인 공공 영역은 국가사이버위기관리단이 실행 주체며 민간은 과기정통부의 역할이다. 다만 국정원과 과기정통부가 협업할 수 있다. 행안부 온나라시스템 해킹 사고 때엔 7월 14일 국정원이 협조 채널을 통해 미리 정보를 입수한 다음 바로 정보를 공유했다. 실질적 사고 조사에 있어서도 국사단을 통해 합동으로 지금 조사 중에 있다. 거버넌스에 관해서는 우려가 좀 있을텐데, 그 부분은 국가안보실을 중심으로 11월이나 12월에 개선안을 더 담아 발표할 예정이다.
Q. 통신사 불시점검에 대한 법적 우려는 없는지, 기업들과 사전 논의는 진행했는지
동의 없이 불법 점검은 하지 않고 합의를 통해 점검하고 있다. 오해를 없애기 위해 법제화 해나간다. 통신 3사와 합의해 화이트해커를 통해 시뮬레이션을 해보고 있다.
Q. 1600개 기업 즉시 취약점 점검 결과에 따라 기업들에게 징벌이 내려질 수도 있나
점검의 목적이 징벌이 아니고 어디가 취약한가 찾아 실태를 빠르게 파악하려는 목적이다. 드러난 문제에 따라 예산을 확보하고 어떻게 대응할지 빠르게 파악하겠다.
Q. 정보보호 공시 확대 방침이 해외 플랫폼 기업에도 적용되는지, 과징금은 해외 기업 매출은 불명확해서 산정 기준도 불명확할 수 있지 않나
정보보호 공시는 해외 플랫폼 기업에도 동일하게 적용할 것이다. 해외 기업 과징금은 의결한 사례가 있고, 동일하게 적용돼 엄정하게 처벌한다.
Q. 정부도 해킹을 당했는데, 기업에만 징벌적 과징금 강화 등 책임을 묻는 것 같다
정부도 책임에서 자유롭지 않다. 부족했던 부분들 하나씩 얘기해 나가고 있다. 거버넌스 측면에서는 국가안보실 중심으로 하지만 각 부처가 문제 해결 주체로서 책임감 가지고 대책을 수립하고 있고 투자할 부분은 적극 투자하겠다. 12월 발표할 중장기 대책들도 한번에 끝나진 않을 것이다. AI를 통한 대응 노력도 하고 있다. 기업에 징벌뿐 아니라 인센티브도 강화할 것이다.
Q. 당초 9월 말 종합대책 발표 계획이었는데, 어떤 난제로 지연된 것인가
5개 부처 중심으로 했고, 통신, 금융, 공공 부문에서도 이슈 있었기 때문에 점검 항목이 많았다. 국정원, 금융위, 행안부 개인정보위뿐 아니라 국방부와 유관 부서들과 같이 논의해 종합적 대책을 단기 및 중장기로 세우다 보니 늦어졌다. 그래서 지금 일어나고 있는 이슈 빠르게 대응하면서 주요 IT 시스템 1600개에 대해 빨리 점검을 하고, 12월 안으로 국가사이버안보전략 계획도 수립하고 발표하겠다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
