정보통신망법 개정안 본회의 통과 : 정보보호 거버넌스 강화 및 징벌적 제재 도입

개정 정보통신망법의 핵심 내용

• CISO 임원급 지정 및 이사회 보고 의무화: 중기업을 제외한 정보통신서비스 제공자는 임원을 정보보호 최고책임자(CISO)로 지정해야 합니다. 특히 CISO의 업무 범위에 정보보호 인력 관리, 예산 편성, 그리고 정보보호 현황의 이사회 보고가 명시적으로 추가되었습니다.
  
• 정보보호위원회 설치: 시행령으로 정하는 일정 규모 이상의 사업자는 CISO를 위원장으로 하는 정보보호위원회를 반드시 설치·운영하여 관련 주요 사항을 심의해야 합니다.
  

• 정보보호 수준 평가 및 결과 공개: 과기정통부 장관은 매년 주요 사업자의 정보보호 의무 준수 여부와 안정성을 평가하고, 그 결과를 인터넷 홈페이지에 공개하거나 미흡한 사항에 대해 개선을 권고할 수 있습니다.
  
• ISMS 인증 기준의 차등화: 침해사고 시 국민의 생명·신체나 재산에 중대한 위험을 초래할 우려가 있는 고위험군 사업자에 대해서는 더욱 강화된 인증 기준과 절차를 적용하게 됩니다.

• 사고 신고 및 통지 의무 구체화: 침해사고 발생을 인지한 때로부터 24시간 이내에 관계 기관에 신고해야 하며, 이용자에게도 해당 사실을 지체 없이 통지해야 할 의무가 신설되었습니다.
  
• 조사 권한의 실효성 확보: 침해사고의 ‘원인’뿐만 아니라 ‘발생 여부’ 자체에 대해서도 조사가 가능해졌으며, 조사 방해나 자료 제출 거부 시 이행강제금이 부과될 수 있습니다.

• 반복적 침해사고에 대한 과징금: 고의 또는 중과실로 인해 5년 이내 2회 이상 침해사고가 반복될 경우, 연간 매출액의 최대 3%에 해당하는 과징금이 부과될 수 있습니다.
  
• 불법 스팸 관련 제재 상향: 광고성 정보 전송 시 전송자격인증을 받은 사업자에게만 위탁하도록 의무화하였으며, 이를 포함한 스팸 규제 위반 시 관련 매출액의 최대 6%까지 과징금을 부과할 수 있습니다.

실무적 시사점 및 대응 전략

• 정보보호 책임 구조의 재설계
  경영진의 책임이 강화됨에 따라 CISO에게 실질적인 예산 및 인사권을 부여하고, 이사회 보고를 정례화하는 등 내부 의사결정 체계를 정비해야 합니다.
  
• 사고 대응 매뉴얼의 최신화
  개정법상 요구되는 24시간 이내 신고 및 지체 없는 이용자 통지 절차를 반영하여 ‘침해사고 관리·대응 매뉴얼’을 보완하고, 실제 상황에 대비한 모의 훈련을 강화해야 합니다.
  
• 컴플라이언스 이력 관리
  과징금 부과 시 보안 투자 및 운영 노력이 감경 사유로 고려될 수 있으므로, 평상시의 정보보호 활동 내역을 체계적으로 기록·관리하는 것이 중요합니다.
  
• 하위 법령 모니터링
  과징금의 세부 산정 기준과 ISMS 강화 대상 범위 등 구체적인 사항은 향후 시행령과 고시에서 정해질 예정이므로, 입법 예고 단계부터 적극적인 검토가 필요합니다.
  

추가 법안 발의 및 후속 입법 동향

이번 개정안 통과와 별개로, 국회와 정부는 침해사고 대응의 실효성을 더욱 높이기 위해 다음과 같은 추가적인 입법 및 제도 개편을 추진 중입니다.

• 신고 지연에 따른 가산 과태료 (김소희 의원안)침해사고를 즉시 신고하지 않은 경우, 사고 인지일부터 신고일까지의 지연 일수에 따라 산정된 금액을 기본 과태료에 가산하여 부과하는 방안이 논의 중입니다.
  
• 수사기관 고지 의무화 (김용만 의원안)과기정통부나 한국인터넷진흥원(KISA)이 침해사고를 알게 된 경우, 지체 없이 관할 수사기관 등 관계 행정기관에 해당 사실을 고지하도록 하는 내용이 포함되었습니다.