12일 오후 국회는 본회의를 열고 조인철 더불어민주당 의원이 발의한 '정보통신망 이용촉진 및 정보보호 등에 관한 법률 일부개정법률안' 일명 정보통신망법을 통과시켰다. 이번 개정안은 기업의 정보보호 관리 체계를 강화하고 반복적인 침해 사고에 대해 강력한 책임을 묻는 것을 목표로 진행됐다.
◆ 급증하는 사고에 사이버 보안 규제 강화 흐름
최근 국내에서는 통신사와 플랫폼 기업을 중심으로 개인정보 유출이나 해킹 사고가 반복되면서 기업 보안 책임을 강화해야 한다는 요구가 커져 왔다. 특히 대규모 이용자 데이터를 보유한 기업에서 사고가 발생할 경우 사회적 파장이 큰 만큼 사전 예방 중심의 규제 체계가 필요하다는 지적이다.
개인정보보호위원회에 따르면 지난해 1월부터 9월까지 9개월간 신고된 개인정보 유출 사고는 311건으로 집계됐다. 지난 2024년 전체 신고 건수인 307건을 이미 넘어선 것이다.
이에 이재명 대통령은 지난해 12월 개인정보 유출 문제와 관련한 정부 보고 자리에서 "개인정보 유출에 대한 경제적 제재가 너무 약해 기업들이 규정을 쉽게 위반하는 측면이 있다"며 "규정을 어겨 국민에게 피해를 주면 회사가 문을 닫을 수도 있다는 생각이 들 정도의 강력한 경제적 제재가 필요하다"고 강조했다.
개인정보 유출 문제가 심각해지면서 정부와 국회는 기존의 사후 대응 중심 제도에서 벗어나 기업이 보안 인력과 예산을 확보하도록 의무를 강화하고 사고 발생 시 강력한 제재를 부과하는 방향으로 제도 개편을 추진하고 있다.
◆ 반복 해킹·스팸 기업에 매출 기반 과징금
이번 개정안에 따르면 사업자의 고의 또는 중대한 과실로 침해 사고가 5년 이내 2회 이상 반복될 경우 매출액의 3% 이하 범위에서 과징금을 부과하는 것을 골자로 두고 있다. 특히 불법 스팸을 전송하거나 이를 방치하는 사업자에게는 매출액의 최대 6%까지 과징금을 부과할 수 있는 징벌적 제재 규정도 신설됐다.
또한 고위험 산업군을 대상으로 '정보보호 및 개인정보보호 관리체계' 관리·감독을 강화하고 기업이 정보보호 인력과 예산을 확보하도록 노력 의무도 명시했다. 정보보호 최고책임자(CISO)가 보안 인력과 예산을 직접 관리할 수 있는 권한도 법적으로 규정해 기업 내부에서 실질적인 보안 책임을 수행하도록 지정했다.
정부의 침해 사고 대응 권한도 강화된다. 기존에는 사업자의 침해 사고 신고가 있어야 민관합동조사단을 구성할 수 있었지만 이번 법안으로 해킹 정황만 있어도 정부가 직권으로 조사단을 구성할 수 있는 근거가 마련됐다. 또한 침해 사고 대응 매뉴얼을 체계적으로 마련해 보급하고 사고 발생 시 이용자에게 즉시 통지하는 의무도 확대된다.
정부는 이번 법안 개정과 함께 기업이 주요 정보자산과 개인정보를 안전하게 관리하기 위한 체계를 갖추었는지 한국인터넷진흥원(KISA) 등 전문기관이 심사 및 인증하는 제도인 'ISMS·ISMS-P 인증제' 개편에도 나선다. 과학기술정보통신부와 개인정보보호위원회는 위험 수준에 따라 인증을 간편·표준·강화 등 3단계로 구분하는 방안을 검토하고 있는 것으로 알려졌다. 특히 통신사와 대형 플랫폼 등 고위험 사업자에 대해서는 보다 강력한 인증 기준을 적용할 계획이다.
이번 법 개정은 통신사와 대형 플랫폼 기업 등 이용자 데이터를 대규모로 보유한 기업에 직접적인 영향을 미칠 전망이다. 대형 인터넷 서비스 기업은 보안 사고 발생 시 과징금 규모가 매출 기준으로 산정되는 만큼 보안 투자 확대 압박이 커질 전망이다. 동시에 기업 내부에서 보안 책임자의 권한이 강화되면서 정보보호 조직의 위상도 높아질 것으로 예상된다.
이번 법안을 발의한 조인철 의원은 "통신사·플랫폼·금융을 막론하고 침해 사고가 반복되는 상황에서 기존 제도로는 급변하는 사이버 위협에 충분히 대응하기 어려웠다"며 "이제는 사고가 발생한 뒤 수습하는 방식이 아니라 국가가 전면에 나서 예방과 대응 체계를 구조적으로 강화해야 한다"고 말했다.
댓글 더보기