"보안은 CEO 책무"…정부, 기업 해킹 대응 총점검

류제명 과학기술정보통신부 제2차관이 10일 서울 종로구 정부서울청사에서 KT 무단 소액결제 침해사고 관련 브리핑을 하고 있다. 

잇따른 기업 해킹으로 개인정보 유출이 이어지는 가운데 정부가 기업의 정보보호를 최고경영자(CEO)의 책임으로 명확히 하고 관련 점검을 강화하기로 했다.

과학기술정보통신부는 23일 서울 송파구 한국정보보호산업협회에서 국내 주요 기업 정보보호최고책임자(CISO)를 대상으로 긴급 보안점검 회의를 열고 각 기업의 정보보호 체계를 살폈다.

회의에는 류제명 과기정통부 2차관, 이상중 한국인터넷진흥원장, 이기주 한국CISO협의회 회장을 비롯해 CJ ENM[035760], KT클라우드, GS리테일[007070], 삼성서울병원, 빗썸코리아, 비바리퍼블리카, LG유플러스[032640], 롯데건설 등 업종을 가리지 않고 30여 개 기업이 참석했다.

참석자들은 자사에서 진행 중인 정보보호 활동과 내부 관리 체계를 공유하고 최근 해킹 사고에 대응하기 위한 방안을 논의했다.

류 차관은 "정부가 여러 대책을 마련하더라도 기업 현장에서 보안 조치가 제대로 이행되지 않으면 무용지물"이라며 기업들에 실제적인 보안 점검을 거쳐 당국에 보고해달라고 주문했다. 각 기업이 자사의 주요 정보자산을 명확히 파악하고 이에 대한 취약점 분석 등을 거쳐 과기정통부에 회신해달라는 취지다.

당국은 특히 정보보호가 CEO가 직접 책임지는 사안으로 관리되고 있는지, CISO가 충분한 권한을 보장받고 있는지, 또 이사회와 경영진이 보안 업무에 적극 관여하는지를 중점적으로 점검한 것으로 전해졌다.

류 차관은 연합뉴스와 통화에서 "정보보호는 기업의 존망과 직결된 문제라는 위기의식을 갖고 보안 인식과 역량을 근본적으로 강화해야 한다"며 "특히 통신사는 워낙 대규모라 외부 전문가와 함께 검증 작업을 실시하는 방안도 검토하겠다"고 말했다.

이동근 KISA 디지털위협대응본부장은 회의에서 "기업이 정보자산 실사를 하면서 인터넷 접점에 있는 자산을 CEO가 인지하도록 하는 것이 중요하다"며 "취약점 조치 내용이 CISO를 통해 보고되고, 중장기 대응 방안이 정부에 공유되면 CEO가 위기 상황에 대한 공감대를 형성하고 필요한 지시를 내릴 수 있을 것"이라고 말했다.

그는 백업체계 관리 소홀로 인한 침해 사고를 막기 위해 CEO에게 관련 위험을 알리고 전사 차원에서 점검이 이뤄지도록 정부가 공문으로 요구하는 방식도 제안했다.

이날 회의에 참석한 기업 관계자들은 정보보호 인력 확보와 예산 배정에 어려움이 크다는 점을 공통으로 지적했다.

한 참석자는 "정보보호 공시가 단순히 한국인터넷진흥원(KISA) 홈페이지에 공지가 되는 수준을 넘어 금융감독원 전자공시시스템(DART)에 공시되면 (보안 제도·예산 제고) 내부 설득력이 커질 것"이라고 말했다.

다른 참석자는 "보안 인력을 산출할 때 협력업체의 인원이 포함되다 보니 조직이 실제 운영되는 인원보다 과장돼 보이는 문제가 있다"며 "정직원과 구분된 집계가 필요하다"고 지적했다.

이 밖에도 CEO가 직접 참여하는 연석회의를 정례화해 보안 운영 체계를 논의하는 방안, 보안 투자에 대한 세제 혜택 제공, 침해 사고 발생 시 수탁기업에도 일정 부분 책임을 부과하는 규제 도입 등 다양한 제안이 나왔다.

과기정통부는 점검을 토대로 각 기업의 보안 투자와 관리 체계가 적정 수준인지 확인하고 필요할 경우 제도적 보완책을 마련한다는 방침이다.

류 차관은 "국민이 안심할 수 있는 디지털 환경을 만들기 위해 기업 일선에 있는 3만여 CISO들이 책임감을 갖고 기업의 정보보호 강화에 노력해달라"고 당부했다.