"해킹 장애 2시간 넘으면 14일내 배상안 정부에 제출해야"
등록 2026.07.10 06:01:00수정 2026.07.10 06:22:24
과기정통부, 정보통신망법 개정 후속 시행령 입법예고
침해사고 신고 14일 이내 이용자 피해구제 조치 제출해야
대형 IT·데이터센터 사업자 ISMS 강화심사…전문가가 조사 참여
CISO 중심 보안 인력·예산 확보…외주·클라우드 점검 책임도 강화
![[서울=뉴시스]](https://img1.newsis.com/2025/12/10/NISI20251210_0002014923_web.jpg?rnd=20251210142731)
[서울=뉴시스]
10일 과학기술정보통신부에 따르면 이 같은 내용의 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 일부개정령안이 입법예고됐다.
이번 시행령 개정안은 지난 3월 공포된 정보통신망법 개정의 후속 조치다. 법 개정으로 침해사고 대응 의무와 제재 근거가 신설됐다면 이번 시행령은 이용자 통지 기준, 강화된 ISMS 인증 대상, 이행강제금 산식 등 실제 적용 기준을 구체화한 것이 핵심이다.
2시간 장애 땐 이용자 통지…신고 후 14일 내 피해구제 결과 제출
침해사고 이후 피해구제 절차도 구체화됐다. 사업자는 침해사고를 신고한 날부터 14일 이내에 이용자 피해구제 조치 내용과 결과를 과기정통부에 제출해야 한다. 부득이한 사유가 있는 경우 한 차례에 한해 14일 범위에서 제출기한을 연장할 수 있다.
사고 발생 사실을 이용자에게 알리는 데 그치지 않고 실제 피해구제 조치가 이뤄졌는지 정부가 확인할 수 있도록 함으로써 침해사고 대응이 신고와 복구에 머물지 않고 이용자 피해구제 단계까지 이어질 수 있도록 했다.
대형 사업자 ISMS 심사 더 세게 받는다
전년도 매출액이 1조원 이상인 주요정보통신서비스 제공자와 집적정보통신시설 사업자, 전년도 매출액이 3조원 이상인 정보통신서비스 제공자가 강화 적용 대상이다. 최근 3년 이내 침해사고가 발생한 정보통신서비스 제공자 가운데 민관합동조사를 받았거나 과징금을 부과받은 사업자도 포함된다.
심사 방식도 강화된다. ISMS 인증 현장 심사 시 강화 적용 대상이나 인증 유효기간 중 침해사고가 발생한 기업에 대해 현장심사를 할 경우 중급 이상 자격기준을 갖춘 취약점 점검원이 직접 참여할 수 있도록 했다. 대형 플랫폼, 통신, 데이터센터 등 국민 생활과 산업에 미치는 영향이 큰 사업자에 대해서는 실제 시스템 취약점 점검을 더 강화하겠다는 취지다.
정보보호수준 평가 대상도 정했다. 정보보호산업법상 정보보호 현황 공시 의무자가 대상이다. 다만 공공기관은 제외된다. 평가 기준에는 정보보호 정책 의사결정과 책임 체계, 정보보호 수준 관리 운영체계, 침해사고와 재난에 따른 서비스 운영·복구 체계 등이 포함된다. 평가 결과는 매년 2월 말까지 공개해야 한다.
이행강제금 매출 연동…기업 보안 책임도 확대
매출이 없거나 매출을 계산하기 어려운 경우에는 하루 최대 200만원까지 부과할 수 있다. 명령을 계속 이행하지 않으면 90일마다 다시 부과할 수 있다. 사고 이후 정부의 재발방지 요구를 미루거나 형식적으로 대응하는 기업에 부담을 주겠다는 취지다.
침해사고 조사 절차도 정비된다. 시행령안은 침해사고조사심의위원회의 심의사항과 구성, 회의 소집, 의결정족수, 위원 제척·기피·회피 기준 등을 구체화했다. 침해사고가 발생한 뒤뿐 아니라 사고 정황이 있는 단계에서 조사 필요성과 범위를 따져볼 수 있도록 하기 위한 것이다.
기업 내부 보안 거버넌스도 구체화됐다. 정보보호 인력·예산 확보 노력 의무 대상을 CISO 신고 의무가 있는 정보통신서비스 제공자로 정했다. 일정 규모 이상 사업자는 CISO를 지정·신고하는 데 그치지 않고 보안 인력과 예산 확보에도 나서야 한다.
CISO 역할도 사전 예방 중심으로 넓어진다. 새 정보시스템이나 서비스를 도입·변경할 때 보안에 문제가 없는지 검토·승인하고 클라우드나 외주업체에 맡긴 시스템도 정기적으로 점검해야 한다.
아울러 CISO 지정·신고 대상인 중대형 정보통신서비스 제공자는 정보보호위원회를 설치·운영해야 한다. 위원회에는 정보보호, 개인정보, 전산운영·개발, 법무, 재무, 인사 등 관련 부서가 참여한다.
정보보호 인력과 예산, 정보보호 계획, 감사 결과 이행, 보안 규정 위반자 처리, 위험평가, 교육·모의훈련 계획 등을 심의한다. 중요한 사안은 최고경영자에게 보고하고, 정보보호에 중대한 영향을 미친다고 판단되는 사안은 이사회 보고까지 이어진다.
◎공감언론 뉴시스 [email protected]
Copyright © NEWSIS.COM, 무단 전재 및 재배포 금지





























