해킹 대응, 사후 수습 넘어 사전관리 강화…기업 보안책임↑ 작성일 07-13 13 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">CISO 시스템·외주 보안 검토 권한 명문화<br>정보보호위 심의 CEO 보고…중대 사안은 이사회로</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="3D7m2kjJXy"> <figure class="figure_frm origin_fig" contents-hash="3fcdef773aa502bed970ab7b1cecac8fb67231eca711e74dbd682c22be9cd7c1" dmcf-pid="0GMZLWvmYT" dmcf-ptype="figure"> <p class="link_figure"><img alt="ⓒ 뉴스1 김초희 디자이너" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202607/13/NEWS1/20260713063129345jywu.jpg" data-org-width="1400" dmcf-mid="FRveXP4q5W" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202607/13/NEWS1/20260713063129345jywu.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> ⓒ 뉴스1 김초희 디자이너 </figcaption> </figure> <p contents-hash="de020567a7aa5fca2ed0514b69f93cb165698beeceefa8e21d5350c646f109f8" dmcf-pid="pHR5oYTsXv" dmcf-ptype="general">(서울=뉴스1) 김민수 기자 = 정부가 기업의 해킹 사고 대응 체계를 사고 뒤 신고·수습 중심에서 사고 전 대비 체계를 점검하는 방식으로 손본다. 주요 온라인·통신 서비스 사업자가 침해사고 대응 매뉴얼을 제대로 만들고 운용하는지도 정부 점검 대상이 된다.</p> <p contents-hash="a9eaa698f2b36926b86e594c270b22eea8526a7f75fa36cd805c7195cfe973ba" dmcf-pid="UXe1gGyO1S" dmcf-ptype="general">13일 관계부처에 따르면 과학기술정보통신부는 지난 9일 '정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령' 일부개정령안을 입법예고했다. 의견 제출 기한은 다음 달 18일까지다.</p> <p contents-hash="7337efb4a603fb15f0fd017ece3313316ffb255da7d6af197191e038ef21f61c" dmcf-pid="uZdtaHWIXl" dmcf-ptype="general">이번 시행령안은 앞서 개정된 정보통신망법의 후속 조치다. 법률이 침해사고 예방과 사고 발생 시 신속 대응, 피해자 구제를 위한 큰 틀을 마련했다면, 시행령안은 기업이 현장에서 갖춰야 할 조직과 절차, 통지 기준을 구체화하는 내용이다.</p> <h3 contents-hash="825211a3cd8f6ef40c2c440169197b2f6c55b785afe1f1ea1f07ff68564aef7e" dmcf-pid="75JFNXYCGh" dmcf-ptype="h3">보안책임자, 외주·클라우드까지 점검</h3> <p contents-hash="e88ef85f77fe35365a2a551bec95c188eb117c7239e419581ee05f1a155eb950" dmcf-pid="z1i3jZGhZC" dmcf-ptype="general">개정안은 정보보호 최고책임자(CISO)를 지정해 정부에 신고해야 하는 주요 정보통신서비스 사업자를 보안 인력과 예산 확보 노력 의무 대상으로 정했다. 일정 기준에 해당하는 사업자가 보안 조직과 예산을 갖추도록 요구하는 취지다.</p> <p contents-hash="c80c693d3207e8f46e09daf1da572acc512b4f89969c32a83bdbe1e497a9b31e" dmcf-pid="qtn0A5HlZI" dmcf-ptype="general">CISO 역할도 커진다. 새 정보시스템이나 서비스를 도입·변경할 때 보안에 문제가 없는지 검토하고 승인하는 업무가 추가된다. 클라우드 서비스를 쓰거나 외부 업체에 정보시스템 구축·운영·관리 등을 맡긴 경우에도 해당 업체의 보안 수준을 정기적으로 점검·감독해야 한다.</p> <p contents-hash="71d60ad048f7506ec903663b0bf9bd1d64e458b9323c67241ef33b9df420062a" dmcf-pid="Bv8WelIkXO" dmcf-ptype="general">이는 기업 서비스가 여러 외부 시스템과 연결되는 현실을 반영한 조치다. 외주 개발, 클라우드, 응용프로그램 인터페이스(API) 연동이 늘면서 한 곳의 보안 관리 부실이 서비스 장애나 이용자 피해로 이어질 수 있어서다.</p> <p contents-hash="dda851482a888b34e851eee25b4770b996c813ab03e900118daba4038976ac43" dmcf-pid="bT6YdSCEZs" dmcf-ptype="general">침해사고 대응 매뉴얼도 정부 점검 대상이 된다. 개정안은 매뉴얼을 작성해 제출해야 하는 사업자 범위를 정하고, 과기정통부가 매뉴얼 작성·운용 실태를 점검할 수 있도록 했다. 매뉴얼을 문서로 갖추는 데 그치지 않고 실제로 작동하는지 보겠다는 뜻이다.</p> <h3 contents-hash="974bccedb0caa9530c4061e82dff91d59694e0f3eb103451c87c97e6944db9b8" dmcf-pid="KyPGJvhDZm" dmcf-ptype="h3">보안 문제, CEO·이사회 보고 체계로</h3> <p contents-hash="c2c38890e4a43e41dd95fd090093f24db4fe5fa51aa4ab1917795eb99cdd66bb" dmcf-pid="9WQHiTlw5r" dmcf-ptype="general">기업 내부 의사결정 구조도 바뀐다. CISO를 신고해야 하는 주요 사업자는 정보보호위원회를 둬야 한다. 위원회에는 정보보호, 개인정보 처리, 전산 운영·개발, 준법·법무, 재무, 인사 업무 관련 부서장이 참여한다.</p> <p contents-hash="4345bc7875a5e97f7a27d98f25bf99ae7bec0b1601aa3c7e98fa33e313479d53" dmcf-pid="2YxXnySrHw" dmcf-ptype="general">위원회는 보안 인력과 예산, 보안 계획, 위험 평가, 교육과 모의훈련 계획 등을 심의한다. 심의 결과는 최고경영자(CEO)에게 보고해야 한다. 회사에 중대한 영향을 줄 수 있는 보안 사안은 이사회에도 보고해야 한다.</p> <p contents-hash="04c7e0b8830bd0b707c0faf6dffb8903a8ffe74fc14cb91222ef4a1ed9bee493" dmcf-pid="VGMZLWvmXD" dmcf-ptype="general">보안 문제가 기술 부서의 사후 대응 업무를 넘어 경영진이 확인해야 할 위험 관리 사안으로 올라가는 셈이다. 대규모 개인정보 유출이나 서비스 장애가 기업 신뢰와 이용자 피해로 이어지는 만큼 보안 투자와 대응 체계를 경영 의사결정 안에 넣으려는 취지로 볼 수 있다.</p> <p contents-hash="00ba083c0d77bc08c651da85e041e8ad7d982eb9d8162d70f36128f04635a2cf" dmcf-pid="fHR5oYTs5E" dmcf-ptype="general">정보보호수준 평가도 구체화된다. 정보보호 현황을 공시해야 하는 사업자를 대상으로 보안 의사결정 체계와 사고 복구 체계 등을 평가하고, 결과를 매년 2월 말까지 공개하도록 했다.</p> <h3 contents-hash="0d54433065b8f5ee91ab05cef30585343489b63d8cc924df48337e0278df3f48" dmcf-pid="4Xe1gGyOYk" dmcf-ptype="h3">침해사고로 서비스 중단 2시간 넘으면 이용자에 통지</h3> <p contents-hash="dad88d0477e8b71a0d992f7aec55f9d050a27368c04f3889863bb85240aebd95" dmcf-pid="8ZdtaHWIXc" dmcf-ptype="general">침해사고가 발생했을 때 이용자에게 알리는 기준도 마련된다. 정보통신서비스 장애나 중단이 2시간 이상 이어진 경우, 또는 이용자에게 영향을 주는 정보가 유출·변조·훼손됐거나 그 가능성이 있는 경우 사업자는 해당 사실을 안 때부터 72시간 이내 이용자에게 알려야 한다.</p> <p contents-hash="b8def8a11f5b8ecbcd5fcbb0db30ff3193b7b4cd738a64ae828a4c83d6dd649b" dmcf-pid="65JFNXYCGA" dmcf-ptype="general">다만 이 조항이 개인정보 유출 통지를 새로 정하는 것은 아니다. 이름, 휴대전화번호, 이메일, 계정정보처럼 개인을 알아볼 수 있는 정보가 유출된 경우에는 개인정보보호법에 따른 별도 통지·신고 규정이 적용된다.</p> <p contents-hash="5fcc88fc9c226799d90d22dcc9563716fe24967d8bae37f26ee769407c5f8731" dmcf-pid="P2m4SKqFZj" dmcf-ptype="general">이번 시행령안의 통지 조항은 개인정보 유출 통지와 별개로, 해킹 때문에 서비스가 멈췄거나 이용자 피해 가능성이 있을 때 사업자가 사고 사실과 대응 현황을 알리도록 한 것이다.</p> <p contents-hash="975e500a8c0d66255feb0d2e343983a4ca120bbd73d1beaed3e9b3ddb7b46b5e" dmcf-pid="QVs8v9B35N" dmcf-ptype="general">통지 내용에는 사고 발생 시점과 원인, 피해 내용, 대응 현황, 이용자가 피해를 줄이기 위해 할 수 있는 방법, 피해구제 절차, 담당 부서 연락처 등이 포함된다. 정확한 원인을 아직 모르는 경우에는 확인된 내용부터 먼저 알리고, 추가로 파악한 내용은 다시 알려야 한다.</p> <p contents-hash="6b90f2428421a8a876223ab4bcd6c0aebdbf45eddb3cfa868f268ea73ad4d886" dmcf-pid="xfO6T2b0Ga" dmcf-ptype="general">이번 시행령안이 확정되면 기업의 사이버 침해사고 대응은 사고 뒤 신고·수습을 넘어 사고 전 보안 조직, 예산, 매뉴얼, 외주 관리, 이용자 통지 체계를 갖췄는지를 확인하는 방식으로 바뀔 전망이다.</p> <p contents-hash="7c40be888ba5eb5cfd8297f12224b8f9b9b04660bba9caefa9321d024533e0d8" dmcf-pid="yC2SQOrN5g" dmcf-ptype="general">kxmxs4104@news1.kr<br><br><strong><용어설명></strong><br><br>■ 정보보호 최고책임자(CISO)<br>기업의 정보보호 정책과 인력·예산, 침해사고 대응 업무를 총괄하는 책임자.<br><br>■ 정보보호위원회<br>정보보호·개인정보·개발·법무·재무·인사 등 여러 부서가 참여해 보안 예산과 위험 대응 방안을 심의하는 사내 기구<br><br> </p> </section> </div> <p class="" data-translation="true">Copyright © 뉴스1. All rights reserved. 무단 전재 및 재배포, AI학습 이용 금지.</p> 관련자료 이전 [김종석의 그라운드] 장애의 상징 아닌 '새로운 발'…카미지 유이, 윔블던서 골든슬램 마침표 07-13 다음 세계 1위 야닉 시너, 윔블던 2연패...즈베레프 꺾고 통산 5번째 메이저 우승 07-13 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.