1.

강화된 정보보호 관리체계 구축

정부는 공공·금융·통신 등 국민 대다수가 이용하는 IT 시스템 1600여 개^[1]에 대하여 대대적인 보안 취약점 점검을 즉시 추진할 예정입니다. 특히 통신사의 경우 실제 해킹 방식의 강도 높은 불시 점검을 추진하고 주요 IT 자산에 대한 식별·관리 체계를 구축하도록 할 계획이며, 소형기지국(펨토셀)은 안정성이 확보되지 않은 경우 즉시 폐기하는 등 보다 엄격히 조치할 전망입니다.

ISMS, ISMS-P와 같은 보안 인증 제도는 현장 심사 중심으로 전환하고 중대한 결함이 발생할 경우 인증을 취소하는 사후관리를 강화할 예정입니다. 모의해킹 훈련과 화이트해커를 활용한 상시 취약점 점검 체계도 구축해 나갈 것으로 보입니다.
 

2.

소비자 중심 신속 대응체계 구축

해킹 사고 발생 시 소비자의 입증책임 부담을 완화하고 통신·금융 등 주요 분야에 대하여는 이용자 보호 매뉴얼을 마련하는 한편, 개인정보 유출 사고로 인한 과징금 수입을 피해자 지원 등 개인정보 보호에 활용할 수 있도록 기금 신설을 검토할 예정입니다.
 
해킹 정황을 확보한 경우에는 기업의 신고 없이도 정부가 신속히 현장을 조사할 수 있도록 정부의 조사 권한을 확대하고, 해킹 지연 신고, 재발 방지 대책 미이행, 개인(신용)정보 반복 유출 등 보안 의무 위반에 대해서는 과태료·과징금 상향, 이행강제금 및 징벌적 과징금 도입 등 제재를 강화할 계획입니다.
 

3.

국가적 정보보호 기반 강화

정보보호 투자확대 유도 및 중소기업 지원 강화: 정보보호 공시 의무 기업을 상장사 전체로 확대(現 666개 회사 → 약 2,700개 회사로 확대)하면서 공시 결과를 토대로 보안 역량 수준을 등급화하여 공개하는 제도를 도입합니다. CEO의 보안 책임 원칙을 법령상 명문화하고, 모든 IT 자산에 대한 통제권 부여, 이사회 정기 보고 의무화, 정보보호 인력·예산 편성·집행 등 보안최고책임자(CISO·CPO)의 권한을 대폭 강화하는 한편, 자체적인 보안 역량이 부족한 중소·영세기업 대상으로는 정보보호 지원센터 확대(지역 정보보호 지원센터 현 10개소에서 16개소로 확대) 등을 통해 지원할 예정입니다.
 
글로벌 변화에 부합하는 제도 마련 및 환경 조성: 2026년부터는 금융·공공기관 등이 소비자에게 설치를 강요하는 보안 소프트웨어를 단계적으로 제한하는 대신 다중 인증, AI 기반 이상 탐지 시스템 등을 활용할 예정이며, 획일적인 물리적 망분리를 데이터 보안 중심으로 본격 전환할 예정입니다. 2027년까지는 공공분야에 사용되는 IT 시스템·제품에 대해 소프트웨어 구성요소(SBOM) 제출을 제도화할 예정이며, 보안 문제가 발견된 IT 제품은 공공 조달 도입이 제한됩니다. 그 외에도 클라우드 보안 요건 개선, 산업용·생활용 IT 제품군(IoT 가전 등)에 대한 보안 평가 공개도 추진됩니다.
 
보안산업의 국가전략 산업화 및 사이버 안보 인력·기술·육성: AI 에이전트 보안 플랫폼 등 차세대 보안 기업을 집중 육성(연 30개 회사)하고, 보안 산업의 저변 확대를 위해 정보보호 서비스^[2]의 범위를 확대합니다. 아울러, 보안 최고 전문가인 화이트해커를 연 500여명 배출하고, 다가오는 양자 시대에 대비하여 양자내성암호 기술 개발 등 국가적 암호체계 전환 착수하고, 2026년에는 공공부문에서 자율주행차, 지능형 로봇, 드론 등 신기술 모빌리티의 안전한 활용을 위한 보안 체크리스트 및 가이드라인을 수립할 계획입니다.
 

4.

범국가적 사이버안보 협력 강화

범부처 위원회인 정보통신기반시설보호위원회(위원장: 국조실장)는 주요정보통신기반시설 지정을 확대하고, 기반 시설의 사고 원인 조사 단계에서는 침해사고대책본부(국가사이버위기관리단으로 지정)를 활성화할 전망입니다. 부처별로 파편화된 해킹 사고 조사 과정을 체계화^[3]하여 현장의 혼란도 최소화할 예정입니다.