정부 "사이버 공격 전 과정 AI 도입 탐지 및 대응"
정부가 28일 제4회 과학기술관계장관회의를 열고 과기정통부, 개인정보보호위원회, 금융위원회가 공동으로 마련한 '제2차 정보보호 종합대책'을 발표했다. 작년 10월 발표한 1차 대책에 이은 것으로, 당시 소비자에 대한 실질적인 배상 부족과 민간 인센티브 제공 필요 등이 제기된 바 있다. 이번 2차 발표안에 대해 정부는 "통신, 플랫폼 등 국민 생활 밀접 분야에서 발생하는 빈번한 사이버 침해사고에 대응하기 위해서"라고 밝혔다. 2차 발표안은 ▲이용자 보호 강화 ▲AI·데이터 보안 강화 ▲취약점 점검 강화 ▲디지털 제품 보안 강화 등 크게 네 항목으로 구성했다. 추진 배경 정보보호 환경은 급변하는데 관련 제도는 정체, 민관의 해킹이 잇달아 일어나고 있는데 따른 대책안이다. 실제 작년에 일어난 대형 보안 사고를 보면, 4월 발생한 SK텔레콤 유심 정보 유출을 시발로 6월 예스24 랜섬웨어 감염 및 회원정보 유출, 9월 KT 무단 소액결제 피해와 롯데카드 고객카드정보 유출, 11월 쿠팡 고객정보 유출 사태가 순차적으로 발생, 대한민국을 보안 공포로 몰아넣었다. 이러한 대형 침해사고 대부분은 기술 부족보다 보안 업데이트 미적용, 암호화 부재, 권한 통제 미흡 등 기본적인 보안수칙을 지키지 않아 발생한 것으로, 침해사고는 AI를 활용한 해킹 기술 발달 등으로 지속적으로 증가하고 있다. 실제 한국인터넷진흥원(KISA)에 따르면, 침해사고 신고 건수가 2017년 287건 → 2021년 640건 → 2024년 1887건으로 계속 늘었다. 여기에 AI가 해킹 프로그램을 만들고, 보안 취약점을 자동으로 탐색하는 등 AI 발전으로 해킹 비용은 감소했는데, 우리나라는 높은 IT 의존도와 디지털 자산 가치 상승으로 해커 공격 유인이 큰 반면, 낮은 정보보호 투자 등으로 해킹 위험이 높다. 여기에 코로나 팬데믹 이후 비대면 서비스 일상화로 비대면·원격 환경 확대 등 보안 취약 환경은 커졌지만 보안 원칙을 무시하는 관행과 정보보호를 단순히 기술 문제로 치부하거나 투자가 아닌 비용으로 여기는 관행은 지속돼 왔다. 이에 정부는 작년 10월 22일 범부처 정보보호 1차 대책을 마련해 발표, 시스템 일체점검과 인증제 실효성 강화, 과태료 상향, 침해사고 직권조사, CISO 권한 확대 등을 개선안으로 제시했다. 하지만 소비자에 대한 실질적인 배상 부족, 기업에 투자 인센티브 제공 필요, AI로 인한 환경변화 대응 등은 미흡, 이번에 2차 대책안을 내놨다. 주요 추진 과제 과기정통부 등은 이번 발표에서 주요 추진 과제로 ▲기업 책임 명확화와 기업의 정보보호 투자 유도 ▲진화하는 해킹에 대한 대응 역량 강화 ▲정보보호가 내재화된 사회(security by design) 등 세가지를 제시했다. 1.기업 책임 명확화&기업의 정보보호 투자 유도 ▲정보주체(소비자)의 손해배상 실질화: 손해배상 판결 효력이 소송 참여자 외에 당사자들에게도 적용되는 미국식 집단소송 제도는 국내 소송제도 전반을 검토 후 도입을 추진한다. 침해사고로 인한 개인정보 유출 이외의 소비자 피해에 대해서도 분쟁조정 제도 도입(정보통신망법 개정 추진, '26.上)을 추진한다. 참고로, 작년 10월 1차 계획에 과징금 상향 내용이 담겼는데, 이의 추진 현황을 보면, 반복적 또는 중대 개인정보유출에 대해 매출액의 10%까지 과징금을 부과하는 방안을 국회서 논의 중(개인정보보호법 정무위 통과(12.17), 박범계(12.9)·김상훈(12.10) 의원 추가 발의)이다. ▲소비자 정보보호 제공 강화: 대규모 피해 야기 해킹 등 사고 발생 시 초기부터 소비자(정보주체)가 신속하게 대응할 수 있게 유출 가능성이 있는 경우도 통지를 의무화(개인정보보호법 개정안 박범계 의원, 12.9)한다. 현행법은 유출이 있음을 알았을 때로 규정, SKT 등이 통지를 지연하는 문제가 발생했다. 이에, 개인정보 '위조·변조·훼손'(랜섬웨어 등)도 통지 및 신고 대상에 포함하는 걸 추진한다. 또 소비자(정보주체)에게 통지해야할 항목을 추가(분쟁조정 신청, 손해배상 청구 등)하고, 유출 시 개인정보 삭제·차단·회수 등 피해확산 방지 조치도 강화한다 ▲개인정보 보호 투자 우수기업 인센티브 제공: 개인정보 보호법상 안전조치 의무 수준을 뛰어넘는 개인정보보호(인력·예산·설비·장치 등)에 대한 과징금을 경감(개인정보보호법, '26)해 준다. 2. 진화하는 해킹에 대한 대응 역량 강화 ▲AI·암호화 등 신기술 활용을 통한 예방·대응력 강화: AI로 자동화된 해킹공격에 대응해 AI기반 사이버 위협 탐지 및 대응시스템(민간·공공)으로 전환('26~)한다. 즉, 사이버 공격 全 과정에 AI를 도입해 탐지 및 대응하고, 침해신고 시 사고원인 분석 및 재발방지 대책 수립을 효율화한다. 또 국가 및 공공기관 전산망에 대한 보안성 검토·점검·측정과 취약점 관리 등 예방 업무 효율화를 추진한다. 특히 AI 모델과 서비스의 보안성을 사전 확보하고 상시 관리하는 체계를 구축한다. 구체적으로, AI 서비스 보안 위협 식별, 오픈소스 AI 보안 등을 포함한 AI 분야별(인프라, 서비스, 에이전트) 보안 모델을 올해중 개발한다. 즉, 인프라 위협(GPU, NPU, 전력 공급 등), 서비스 위협(모델 도용, 모델 오염, 업데이트 위조 등), 에이전트 위협(중요정보 유출, 필터 우회 등) 등 AI 위협 대응 방안을 개발한다. 이외에 AI 모델과 서비스의 보안 취약점을 발굴 및 분석하는 AI 레드팀을 본격 운영, 모의 침투 테스트를 올해 수행한다. AI 모델 개발단계부터 보안을 내재화하기 위해 AI-BOM(S-BOM처럼 AI 모델의 구성요소·의존관계 등을 기술한 명세서) 등 전주기(개발→배포) 평가 프레임워크 R&D 및 실증을 올해 추진한다. 이외에 데이터를 보호하면서 활용성을 높이는 암호화 기술 개발에 대한 투자 강화 및 상용화 촉진을 올해 지원한다. 데이터의 저장·전송·사용 상태에서도 보안성을 강화하는 개인정보 보호 강화 기술(동형암호, 다자간 연산 등)이 그 예다. 또 국가기관, 기업 등이 중요 데이터를 암호화하도록 기반시설 점검 규정 및 인증기준(ISMS)을 개정하고, 국가·공공기관은 신(新)보안체계를 적용('26~)한다. 개인정보 거래·확산 우려에 대응해 개인정보 불법유통 처벌 근거를 신설(개보법, '26)하고, 다크웹 모니터링도 확대('26~)한다. ▲취약점·사이버 위협 정보 수집 및 공유체계 강화: 첫째, 화이트해커를 통해 취약점 정보 등을 수집(기업·기관이 일정 조건하에 자신의 정보통신자산에 대해 화이트해커의 취약점 발굴을 허용하는 제도)할 수 있도록 기반을 조성한다. 기업이 자율적으로 취약점 신고·조치·공개 제도를 도입·확대하도록 신고 절차, 면책 조건 등 기준을 마련하고, 적극적인 취약점 개선 노력에 대한 인센티브 제공 방안을 올해중 마련한다. 화이트해커를 활용한 공공분야 취약점 개선도 활성화한다. 둘째, 민·관 사이버 위협정보 공유시스템을 통한 신속한 정보 공유도 추진한다. 이에, AI 보안 위협 정보 공유 기능을 도입하고, 해외 입수 정보 등 최신 위협 정보에 대해 신속한 민관 공유를 추진한다. 셋째, 정부의 침해사고 조사역량도 강화한다. 사이버 침해사고의 신속하고 효과적인 대응을 위해, 침해사고 조사 기능에 더해 사이버범죄 분야 특별사법경찰 권한을 부여한다. 3.정보보호를 내재화한 사회(security by design) ▲국민 일상생활에 보안 강화: 첫째, 국민 사생활 밀접 제품을 대상으로 보안 실태 점검을 올해 강화한다. 즉, 침해사고 및 그 파급력이 클 것으로 예상되는 정보통신망 연결기기에 대한 정보보호 수준을 점검하고 결과 공개 등을 통해 제품의 보안성 제고를 유도한다. 유통·플랫폼 등 고위험 개인정보를 다루는 분야 대상으로 실태점검을 추진한다. 또 개인정보 유출 공공기관에 대한 패널티도 강화, 개인정보 보호수준 평가 감점을 확대(△3점→△10점)하고, 지방공기업 경영평가·지자체합동평가에 반영(중대사고 발생 시 0점)하며, '공공기관 경영평가' 시 개인정보보호 배점을 상향(0.25→0.4점)한다. 둘째, 온라인플랫폼 접속 시 안전하고 간편한 인증수단 적용을 권고하고, 결제 시에는 제도화를 추진한다. 셋째, 기업·국민 모두가 일상생활에서 정보보호를 실천할 수 있도록 정보보호 실천 캠페인과 홍보도 강화, 전광판 등을 활용한 공익광고도 추진한다. ▲중소기업 보안 지원 강화: 첫째, 영세‧중소기업 대상 정보보호 지원사업을 확대('25년 400개 → '26년 500개사), 정보보호 컨설팅 및 보안솔루션과 클라우드 기반 구독형 보안서비스(SECaaS) 도입 비용을 지원한다. 개인정보 관련 취약점 선제적 모니터링 및 개선 지원 등 영세·중소기업 대상 지원도 확대한다. 둘째, 중소기업 스스로 보안환경을 점검‧개선할 수 있는 훈련 플랫폼을 확대 개편하고, 맞춤형 정보를 제공('26~)한다. 셋째, 중소기업의 개인정보 유출사고 예방을 위해 기술지원 서비스를 제공('26~)한다. ▲디지털 요소를 포함한 모든 제품에 대한 보안 정책 마련: 첫째, 산업·사회의 디지털·AI 융합에 따라 대부분 제품·서비스에서 디지털 요소를 포함함에 따라, 일반 제품에 대한 보안 정책을 마련('26~)한다. EU의 규제 방향을 고려해 규제 체계를 정비하되, 중소기업 등에 대한 지원방안도 함께 마련한다. EU는 디지털 요소를 포함하는 모든 제품·서비스에 적용하는 Cybersecurity Resilience Act ('24.11월 제정, '27.12월 적용)를 갖고 있다. 이의 주요내용은 ①설계부터 제품에 보안 적용 ②제품 수명주기(보통 5년) 동안 보안 업데이트 지원 ③취약점 관리 및 신고 의무화 ④SW 자재명세서(SBOM) 관리 등이다. 둘째, 중소기업 등이 제품·서비스에 포함되는 SW 자재명세서 생성‧관리할 수 있도록 관리체계 구축 등 지원을 강화('26~)한다. 공공분야 IT시스템·제품에 대한 SW 구성요소(SBOM) 제출 제도화, 보안 문제가 발견된 공공조달 도입 제한 등은 작년 10월 발표한 1차 계획에 이미 포함됐다. 셋째, 디지털 요소가 포함된 국가 사업의 기획 및 과제 선정 단계에서부터 보안 요소를 필수 고려하도록 체계를 개선, ICT R&D 분야부터 우선 적용한다. 즉, ICT 분야별 R&D 기획위원회 구성 시 보안 전문가를 필수 포함(선정)하고, 사업 특성을 고려해 정보보호 산‧학‧연이 포함된 컨소시엄 대상시 가점을 부여한다. 작년 10월 발표 1차 대책 주요 내용과 그동안의 이행 현황 아래는 작년 10월 정부가 발표한 1차 정보보호 종합대책 내용이다 -(사고 예방): 주요 기업과 국가·공공기관의 시스템을 일체 점검, 인증제도(ISMS, ISMS-P)의 실효성 강화 등을 통한 상시 점검 체계 구축 -(사고 대응): 고의 미신고 등에 과태료를 상향(3천->5천만원, 법사위 통과)하고, 침해사고 정황 시에도 조사를 실시하며, 반복·중대 위반 과징금을 상향(매출액의 최대 3→10%, 정무위 상정), 재발 방지를 위한 이행 강제금을 신설했다. 또 이용자 보호메뉴얼 마련을 의무화(통신, 금융)하고, 소비자 입증책임 완화 등에 나선다. -(기반 강화): 첫째, 기업의 보안 인력·투자 공개 및 역량 평가로 투자를 유도하고, CEO의 보안책임 법령상 명문화와 CISO(정보보호 최고책임자)의 권한 확대로 보안 거버넌스를 강화하고 둘째, 공공부문은 정보보호 투자·인력·조직 기준을 설정, 정보보호책임관 직급을 상향하고(국장->실장) 셋째, 정보보호 환경 개선을 위해 공공분야 물리적 망 분리에서 데이터 보안 중심으로 전환, 금융·공공서비스에서 강제 설치 SW 제한을 추진하며 넷째, 산업·인력·기술 강화를 위해 AI기반 보안기업을 육성하고 인력양성 과정을 재설계한다. 한편 과기정통부 등 정부는 작년 10월 이와 같은 대책 발표후 그동안 시행한 일로 아래와 같은 사항을 이번에 함께 공개했다. 첫째, 시스템 점검의 경우 통신·플랫폼(ISMS 인증 934개 민간기업)·금융(261개)·공공(149개 기관, 288개 시스템) 중심으로 진행, 미흡 사항은 개선을 요청했다. 1차로 자체 점검(~12월, 121개 미실시 기업은 참여 독려)을, 2차로 현장검증을 실시(12월~)했다. 둘째, 기업의 책임 강화 등을 위한 법 개정(정보통신망법, 개인정보보호법, 전자금융거래법)은 17건(내용 중심)이며, 16건 발의(7건 법사위 통과 등)와 1건은 발의를 준비중이다. 또 공공부문 역량강화와 예산 수반 사업 등은 올해 본격 추진할 예정이다. 과기정통부는 "이행 초기단계로 법 개정 사항 등을 이행하면 효과가 나타날 것으로 예상하나, 외부 지적에 대한 보완(소비자에 대한 실질적인 배상 부족, 기업에 투자 인센티브 제공 필요)과 환경변화에 대응 방안도 필요하다"고 설명했다.
