침해사고 대응 의무와 제재 수준이 9월부터 강화된다. 매출 연동 과징금과 경영진 책임 강화가 동시에 추진된다.
과학기술정보통신부는 24일 국무회의에서 이같은 내용의 정보통신망법 개정안이 의결됐다고 밝혔다.
개정안은 침해사고 반복 기업에 대한 과징금을 신설하고 기업의 정보보호 책임을 강화하는 것이 핵심이다. 앞서 개정된 개인정보보호법과 더불어 규제 강도가 한층 높아지는 흐름이다.
정부는 개정안을 통해 침해사고 자체에 대한 과징금 부과 근거를 처음 마련했다. 고의 또는 중과실로 5년 내 2회 이상 침해사고가 발생할 경우 매출액의 최대 3%까지 과징금을 부과할 수 있다. 기존에는 신고 지연 등 절차 위반시에만 제재를 가하는 수준이었다.
앞서 개인정보보호법 개정안은 반복적이거나 중대한 개인정보 침해의 경우 매출액의 최대 10%까지 과징금을 부과할 수 있도록 했다.
두 법에 따른 과징금은 각각의 위반 행위에 따라 별도로 부과되는 구조다. 이는 과징금 부담을 높여 기업의 사전 예방 투자를 유도하려는 취지로 해석된다.
정보통신망법 개정안에는 사고 이후 정부의 재발 방지대책 권고를 이행하지 않은 기업에 대한 이행강제금이 신설됐다. 이행기한이 지난 날부터 1일당 누적 부과할 수 있는 구조다.
해킹 지연신고 및 고의적 미신고에 대한 과태료는 기존 3000만원에서 5000만원으로 상향했다.
기업의 내부 통제 체계도 강화된다. 중기업을 제외한 정보통신서비스 제공자는 임원을 정보보호 최고책임자(CISO)로 지정해야 하며, 정보보호위원회를 설치·운영해야 한다. 정보보호 인력과 예산 관리, 이사회 보고 등 책임 범위도 확대된다.
정부의 관리·감독 기능도 확대된다. 침해사고 발생 뿐만 아니라 내부 정보 유출 등 사고가 의심되는 단계에서도 조사 착수가 가능해지고, '침해사고조사심의위원회'를 통해 조사 필요성과 범위 등을 심의하는 체계가 도입된다.
다만 기업의 보안 수준을 평가하는 정보보호수준 평가 제도는 공포 후 1년 뒤 시행된다. 과기정통부는 주요 사업자를 대상으로 정보통신망의 안정성과 정보 신뢰성 수준을 매년 평가하고, 미흡한 경우 개선을 권고할 수 있다.
개인정보보호법에 따른 정보보호 및 개인정보 보호 관리체계 인증(ISMS-P) 의무화도 준비 기간을 고려해 2027년 7월 1일부터 시행될 예정이다.
연이은 법 개정으로 기업의 보안 투자가 확대될 것으로 예상된다. 보안이 새로운 경영 리스크로 부상하며 내부 통제 체계 점검과 대응 역량 강화에 나설 수밖에 없다는 분석이다.
배경훈 부총리 겸 과기정통부 장관은 “정보통신망법 개정이 사이버 침해사고의 예방과 대응 체계를 한 단계 향상시킬 것”이라며 “국민 불안감을 해소하고, 기업은 철저한 보안 아래 지속 성장할 수 있는 기반을 마련했다”고 말했다.
박진형 기자 jin@etnews.com
