국회가 정보통신서비스 기업의 보안 관리 책임을 강화하고 반복적인 침해사고에 대해 과징금을 부과할 수 있도록 하는 법안을 처리했다.
국회는 12일 본회의를 열고 '정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) 일부개정법률안'을 통과시켰다.
개정안은 침해사고 대응 관련 제재 수단을 대폭 강화한 것이 핵심이다. 법안은 이행강제금을 도입하고 반복적인 침해사고가 발생한 사업자에 대해 과징금을 부과할 수 있도록 하는 규정을 신설했다. 또 기업이 침해사고 관리·대응 매뉴얼을 마련하도록 하고 침해사고로 인한 이용자 피해 구제 제도도 도입했다.
정보통신서비스 제공자의 보안 관리 책임도 강화했다. 주요 정보통신서비스 제공자는 정보보호 분야 전문 인력과 충분한 예산을 확보하도록 노력해야 한다. 중기업을 제외한 사업자는 임원을 정보보호 최고책임자(CISO)로 지정해야 하며 해당 책임자는 정보보호 인력 관리와 예산 편성, 이사회에 대한 정보보호 현황 보고 등의 업무를 수행하도록 했다.
기업 내부 보안 거버넌스 강화를 위해 정보보호위원회 설치·운영도 의무화됐다. 또 과학기술정보통신부 장관은 매년 사업자의 정보통신망 안정성과 정보 신뢰성 수준을 평가할 수 있도록 했다.
침해사고 대응 체계도 보완됐다. 과학기술정보통신부에는 침해사고 관련 사항을 심의하는 '침해사고조사심의위원회'가 설치된다. 정보통신서비스 제공자는 대통령령으로 정하는 침해사고 발생 시 지체 없이 이용자에게 통지해야 한다. 침해사고 분석 범위 역시 기존 '원인 분석' 중심에서 '침해사고 발생 여부'까지 확대된다.
이번 개정안은 최근 통신사와 플랫폼 기업 등을 대상으로 발생한 대규모 침해사고를 계기로 추진됐다. 정부가 사업자의 보안 관리 의무 위반에 대해 보다 강력한 제재를 가할 수 있도록 제도적 기반을 마련한 것이다.
최근 개인정보 유출 사건에 대한 책임 강화를 위해 개인정보보호법에서도 과징금 제도가 강화되는 등 기업 보안 책임을 확대하는 입법 흐름이 이어지고 있다. 업계에서는 이번 정보통신망법 개정으로 플랫폼과 통신 기업의 보안 투자와 내부 통제 체계 강화 압박이 더욱 커질 것으로 보고 있다.
박진형 기자 jin@etnews.com
