침해사고 반복 기업 매출 최대 3% 과징금…해킹방지법 국회 통과

등록 2026.03.12 17:49:14수정 2026.03.12 18:16:24

침해사고 5년 내 2회 발생 시 매출 최대 3% 과징금

고위험 산업군 ISMS-P 관리·감독 강화

해킹 신고 없어도 정부 조사 착수 가능

[서울=뉴시스] 고승민 기자 = 12일 서울 여의도 국회에서 열린 제433회 국회(임시회) 제1차 본회의. 2026.03.12. kkssmm99@newsis.com

[서울=뉴시스] 고승민 기자 = 12일 서울 여의도 국회에서 열린 제433회 국회(임시회) 제1차 본회의. 2026.03.12. [email protected]

[서울=뉴시스]윤정민 기자 = 해킹사고를 반복하거나 불법 스팸을 전송한 기업에게 각각 매출 3%, 6% 이하에서 부과할 수 있는 징벌적 과징금을 부과하도록 하는 법안이 국회 문턱을 넘었다.

국회는 12일 오후 본회의를 열고 조인철 더불어민주당 의원이 발의한 '정보통신망 이용촉진 및 정보보호 등에 관한 법률 일부개정법률안'(이하 정보통신망법)을 처리했다.

이 개정안은 '정보보호 및 개인정보보호 관리체계(ISMS-P)' 운영 기준을 강화하는 데 초점을 맞췄다.

고위험 산업군을 대상으로 ISMS·ISMS-P 관리·감독을 강화하고 기업이 정보보호 인력과 예산을 확보하도록 노력 의무를 명시했다. 또 정보보호 최고책임자(CISO)에게 보안 인력과 예산을 관리할 수 있는 권한을 명문화해 기업 내부에서 실질적인 보안 책임을 수행할 수 있도록 했다.

이번 법 개정에 따라 과학기술정보통신부와 개인정보보호위원회도 ISMS·ISMS-P 인증제 개편에 나선다. 정부는 이날 서울 종로구 HJ비즈니스센터에서 열린 ISMS·ISMS-P 인증제 실효성 강화를 위한 현장 간담회에서 위험 수준에 따라 인증을 3단계(간편·표준·강화)로 구분할 계획이라고 밝혔다.

특히 통신사, 대형 플랫폼 등 고위험군에 대해서는 보다 강력한 인증 기준을 적용한다. 정부는 주요 보안위협 사례, 주요국 보안 요구 사항을 참조해 강화 인증 기준을 개발할 계획이다.

정부 차원의 대응 체계도 강화된다. 침해사고 대응 매뉴얼을 체계적으로 마련해 보급하고 사고 발생 시 이용자에게 즉시 통지하는 의무도 확대됐다.

조 의원은 “통신사·플랫폼·금융을 막론하고 침해사고가 반복되는 상황에서, 기존 제도로는 급변하는 사이버 위협에 충분히 대응하기 어려웠다"며 "이제는 사고가 터진 뒤 수습하는 방식이 아니라, 국가가 전면에 나서 예방과 대응 체계를 구조적으로 강화해야 한다"고 말했다.

황정아 민주당 의원이 발의한 정보통신망법 개정안도 대안 반영돼 본회의에 통과됐다.

대안에 따르면 사업자의 고의 또는 중과실로 침해사고가 5년 이내에 2회 이상 반복적으로 발생한 경우 매출액의 3%를 초과하지 않는 범위에서 과징금을 부과할 수 있다.

또 불법 스팸을 전송하거나 이를 방치하는 등 정보통신망법상 의무를 위반한 사업자에게는 매출액 최대 6% 수준의 과징금을 부과하는 징벌적 제재도 신설됐다.

아울러 기존에는 사업자의 침해사고 신고가 있어야 민관합동조사단을 구성할 수 있었지만 앞으로는 해킹 정황만 있어도 정부가 직권으로 조사단을 구성할 수 있게 된다.

황 의원은 "이번 법안 통과로 국민을 괴롭혀 온 불법 스팸 폭탄과 해킹사고를 사실상 방치해 왔던 책임자들을 강력히 제재할 수 있는 기반이 마련됐다"며 "기업이 사이버보안 투자를 회피하면 더 큰 비용을 치를 수 있다는 경각심을 가져야 한다"고 밝혔다.

◎공감언론 뉴시스 [email protected]