[권기원 칼럼] 반복되는 해킹 사태, 법이 바뀐다… 정보통신망법 개정안 핵심 정리

[권기원 법무법인(유한) 대륙아주 입법지원실장]

2025년 한 해 동안 해킹 사태가 잇따르면서 많은 시민들이 불안감을 느끼는 가운데, 사이버 침해사고에 보다 효과적으로 대응하기 위한 법안이 마침내 확정되었다. 과학기술정보통신부는 2026년 3월 24일 열린 국무회의에서 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 '정보통신망법') 개정안이 의결되었다고 발표했다. 이번 개정안은 사이버 보안 강화를 위해 여야 국회의원들이 발의한 20여 개의 법안을 하나로 통합한 것으로, 침해사고의 예방부터 대응까지 전 과정에 걸쳐 역량을 높이는 데 초점을 맞추고 있다. 배경훈 부총리 겸 과학기술정보통신부 장관은 "국민은 디지털 보안 향상을 위한 적극적인 조치를 요구하고 있다"며, "이번 정보통신망법 개정이 사이버 침해사고의 예방과 대응 체계를 한 단계 끌어올려 국민의 불안을 해소하고, 기업이 철저한 보안 환경 속에서 지속적으로 성장할 수 있는 토대가 될 것"이라고 밝혔다


1. 추진경과

이동통신사와 금융기관 등에서 대규모 고객정보 유출 사고가 반복되면서, 정보보호 관련 제도를 전면적으로 손봐야 한다는 목소리가 높아졌다. 이에 정보통신망법 개정안이 2026년 3월 12일 국회 본회의를 통과했다.

개정안의 핵심은 침해사고 예방·대응 체계 강화와 불법 스팸 전송 규제 강화이다. 여기에 더해 정보보호 최고책임자(CISO) 관련 규정 정비, 과학기술정보통신부장관의 정보보호 수준 평가 도입, 정보보호 관리체계(ISMS) 인증 제도 개선 등도 함께 담겼다.

2. 정보통신망법 개정안의 주요 내용

정보보호 최고책임자(CISO) 관련 규정 정비

이번 개정안은 기업 내부에서 정보보호 거버넌스 체계가 실질적으로 작동할 수 있도록 책임 구조를 새롭게 정비했다. 우선, 주요 정보통신서비스 제공자와 집적정보통신시설 사업자 등은 정보보호 분야 전문 인력과 충분한 예산을 갖추도록 노력해야 한다는 조항이 마련되었다. 또한 정보통신서비스 제공자는 임원을 CISO로 지정해야 하며, CISO의 주요 업무로는 정보보호 인력 관리 및 예산 편성, 이사회 보고 등이 명시되었다. 나아가 일정 규모 이상의 사업자는 CISO를 위원장으로 하는 정보보호위원회를 설치하고 운영해야 한다.

정보보호 수준 평가 도입

앞으로 일정 기준에 해당하는 사업자는 매년 정보보호 수준 평가를 받아야 한다. 과학기술정보통신부장관은 그 결과를 인터넷 홈페이지 등을 통해 공개하거나, 미흡한 점이 있는 사업자에게 개선을 권고할 수 있다.

정보보호 관리체계(ISMS) 인증 제도 개선

침해사고 발생 시 사회적으로 중대한 영향을 미칠 우려가 있는 사업자에 대해서는 ISMS 인증 기준과 절차를 강화하여 적용할 수 있게 된다. 또한 인증을 받은 사업자가 정보보호 관련 법령을 심각하게 위반한 경우에는 인증을 취소할 수 있도록 했다.

침해사고 대응 체계 강화

침해사고에 보다 체계적으로 대응하기 위해 과학기술정보통신부 내에 '침해사고 조사심의위원회'가 새롭게 설치된다. 이 위원회는 침해사고 조사의 필요성, 민관합동 조사단 구성 여부 등을 심의하는 역할을 맡는다. 침해사고 신고와 관련해서도 구체적인 기준이 마련되었다. 사업자는 침해사고 발생 사실을 인지한 때로부터 24시간 이내에 관련 사항을 신고해야 하며, 일정한 침해사고가 발생했을 때는 지체 없이 이용자에게도 이를 알려야 한다. 또한 기존에는 침해사고 발생 후 원인 분석과 재발 방지에 초점을 맞췄다면, 이번 개정안은 침해사고가 의심되는 정황이 있는 경우까지 조사 범위를 넓혀 보다 선제적인 대응이 가능해졌다.

침해사고 관련 제재 강화

사업자의 고의 또는 중대한 과실로 인해 5년 이내에 침해사고가 2회 이상 반복된 경우, 매출액의 3% 이내에서 과징금을 부과할 수 있다. 과징금 산정 시에는 침해사고의 횟수, 고의·과실 여부, 피해 규모와 회복 노력, 이용자에게 미친 영향 등 다양한 요소가 종합적으로 고려된다. 시정명령을 따르지 않거나 조사를 방해하는 경우에는 이행강제금도 부과된다. 구체적으로는 이행기한이 지난 날부터 하루 평균 매출액의 0.03% 범위 내에서 매일 강제금이 부과될 수 있다. 아울러 침해사고가 발생한 사업자는 이용자 피해 확산 방지를 위한 조치를 취하고, 그 내용과 결과를 과학기술정보통신부장관에게 제출해야 한다.

불법 스팸 규제 강화

영리 목적의 광고성 정보 전송을 타인에게 맡기려는 경우, 앞으로는 전기통신사업법상 전송자격인증을 받은 사업자에게만 위탁할 수 있다. 또한 자신이 제공하는 서비스가 불법 광고 전송에 악용되고 있다면, 사업자는 전송 즉시 중단, 서비스 거부, 계약 해지 등의 조치를 취해야 한다. 관련 규정을 위반할 경우에는 매출액의 6% 이내에서 과징금이 부과될 수 있다.

3. 업계의 대응 방향

이번 개정안은 정보보호 책임을 경영진 수준으로 끌어올리겠다는 정부의 강한 의지를 담고 있다. 따라서 기업들은 단순히 임원을 CISO로 형식적으로 지정하는 데 그치지 않고, 실질적인 권한과 예산을 부여하며 이사회 보고 체계를 포함한 내부 통제 시스템을 제대로 갖춰야 한다.

아울러 이번 개정안은 보안의 무게중심을 '사후 대응'에서 '사전 예방'으로 옮기고자 한다. 기업들은 정기적인 보안 점검 프로세스와 침해사고 대응 매뉴얼을 미리 정비하고, 예방 중심의 정보보호 체계가 실제로 돌아갈 수 있도록 준비해 둘 필요가 있다.

개정안은 공포 후 6개월이 지난 날부터 시행된다. 다만 정보보호 수준 평가 제도와 관련 과태료 규정은 공포 후 1년이 지나야 시행된다. 기업들은 이 기간을 활용해 내부 정보보호 시스템을 꼼꼼히 점검하고 정비해야 하며, 향후 마련될 하위 법령의 내용도 주의 깊게 살펴볼 필요가 있다.

권기원 필진 주요이력 

▲ 경남대 극동문제연구소 초빙교수 ▲ 前​ 미국 우드로윌슨센터에서 객원연구원 ▲ 前 국회 국방위원회 전문위원 ▲ 前과학기술정보방송통신위원회 수석전문위원 ▲ 前 외교통일위원회 수석전문위원 ▲아주경제 로앤피 고문(아주경제 객원기자)  ▲법무법인 대륙아주(유한) 입법지원실장 ▲중앙대학교 의회학과 객원교수