기업 침해사고 '본체만체' 옛말…KISA "망법 개정 후 대응 책임 커졌다"

침해사고 기업 원인 분석·확산방지 조치 의무화

'중대 사고' 아닌 기업도 자료 보전·제출 대상

제출 거부 시 법 위반 과태료 부과…최대 1000만원

"기업 현장 조사 없어도 정보 수집 범위 확대돼"

민간 보안 분야 피해확산 방지 활동 강화 기대

박용규 한국인터넷진흥원 침해사고분석단장 [사진=한국인터넷진흥원]

최근 개정된 정보통신망법에 따라 정부가 기업에서 발생한 침해사고 분석과 대응 과정에 개입하고 민간 정보보호 수준을 보완·개선할 수 있게 됐다. 민간 분야 침해사고 대응 전문 기관인 한국인터넷진흥원(KISA)은 해킹 등이 발생한 기업이 짊어져야 할 피해 확산 방지에 대한 의무와 책임이 한층 더 커진 것이라고 평가하고 있다.

26일 박용규 KISA 침해사고분석단장은 작년 6월 개정돼 12월 시행에 들어간 정보통신망법에 따라 민간 기업에서 일어난 침해사고 대응 체계가 전과 달라진 점을 소개했다. 정부는 이 법을 근거로 침해사고 원인을 분석하고 대책을 마련해 필요한 조치를 기업에 권고하고 이를 위해 관련 자료 보전·제출도 요구할 수 있다. 이에 따르면 기업이 자료 제출을 거부하거나 거짓으로 제출하는 등 법령 위반 시 누적 횟수에 따라 최대 1000만원까지 과태료를 내야 할 수도 있다. 

개정된 정보통신망법 제48조의4(침해사고의 원인 분석 등) 제1항에 따라 침해사고 발생 기업은 피해 확산 방지 조치 의무를 진다. 정부는 제2항에 따라 사고 원인 분석, 재발 방지 대책을 마련해 필요한 조치를 기업에 권고할 수 있고 제3항에 따라 ‘중대한 침해사고’ 분석과 대책 마련을 위한 민관 합동조사단을 운영할 수 있다.

정부는 이전까지 기업에 중대한 침해사고에 한해 원인 분석과 대책 마련을 위한 자료 보전을 요구하고 제출 명령을 내릴 수 있었다. 개정된 제4·5항에 따라 이제 모든 침해사고에 대한 자료 보전 요구, 관련 자료 제출 명령이 가능하다. 또 개정된 5항에 따라 과학기술정보통신부 소속 공무원이 조사에 참여할 수 있게 됐다.

KISA는 침해사고 발생 기업에 신고의무, 원인 분석과 확산 방지 조치 의무가 있고 정부의 요구·명령에 따른 자료 보전과 제출 권한이 있다는 점을 고지한다. KISA는 중대 사고가 아닌 일반 사고에 대해서도 자료 보전·제출을 요구하고 원격·현장 직접조사뿐 아니라 제출받은 자료를 검토하는 ‘간접조사’를 통해 원인을 분석한다.

박 단장은 “법 개정으로 현장조사 여부와 관계 없이 침해사고 정보 수집 범위를 기업 자체 조사 건에 대한 사고 정보와 분석 결과 등으로 확대할 수 있게 됐고, 이 내용을 수집·공유해 (민간 보안 분야) 피해 확산 방지 활동을 강화할 수 있게 됐다”며 “기업의 조치 의무 확대와 정보공유 등 책임성을 강화했다”고 설명했다.

2022년 한 해 KISA가 접수한 민간 분야 침해사고 신고는 1100여 건으로 전년(640건) 대비 두 배 가까이 늘었다. 과기정통부와 KISA가 발간한 ‘2023 사이버 보안 위협 전망’ 보고서에 따르면 2019년 이래 연간 침해사고 건수는 해마다 증가 추세를 나타내며 랜섬웨어와 디도스(분산서비스거부) 공격이 주요 위협으로 떠올랐다.
 

[자료=한국인터넷진흥원]