본문
2025년 발생한 연쇄 해킹 사태로 국가 디지털 인프라의 취약성이 드러난 가운데, 과학기술정보통신부(이하 '과기정통부')는 2026년 3월 24일 국무회의에서 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 '정보통신망법') 개정안을 의결하였습니다. 여야 의원이 발의한 24건의 법안을 통합한 본 개정안은 ① CISO 임원급 격상 및 정보보호위원회 설치 의무화, ② 해킹 의심 정황만으로 정부 직권조사를 가능케 하는 침해사고조사심의위원회 신설, ③ 반복 침해사고에 대한 매출액 3% 과징금 및 일단위 이행강제금 도입을 핵심으로 합니다. 개정안은 공포 후 6개월 경과일에 시행되며(정보보호 수준 평가는 공포 후 1년), 기업은 시행일 전까지 보안 거버넌스를 전면 재설계하고 24시간 신고 체계를 구축해야 합니다.
1. 배경: 기존 법 체계의 한계와 개정 경위
2. 주요 개정 내용
3. 핵심 쟁점 분석
4. 산업별 영향 분석 및 사례 확장
5. 기업 유형별 맞춤 대응 포인트
6. 실무자 자가점검 체크리스트
7. FAQ
8. 맺음말
1. 배경: 기존 법 체계의 한계와 개정 경위
1) 조사 착수의 법적 공백
기존 정보통신망법 체계에서는 정보통신서비스 제공자가 침해사고를 자발적으로 신고하지 않는 한 과기정통부나 한국인터넷진흥원(KISA)이 조사에 착수할 수 있는 법적 근거가 없었습니다. 이 구조적 공백은 기업의 사고 은폐·신고 지연을 가능하게 하였고, 정부 대응이 늦어져 이용자 피해가 확산되는 문제가 반복되었습니다.
2) 범정부 종합대책과 통합 법안 마련
정부는 2025년 10월 사이버보안 지휘본부인 국가안보실을 중심으로 민·관·공을 아우르는 '범정부 정보보호 종합대책'을 수립하였습니다. 이를 법제화하기 위해 여야 의원이 발의한 24건의 법안을 통합·조정한 대안이 2026년 3월 12일 국회 본회의를 통과하였으며, 같은 달 24일 국무회의에서 의결되었습니다.
3) 시행 일정
본칙: 공포 후 6개월이 경과한 날부터 시행됩니다.
정보보호 수준 평가(제45조의5): 공포 후 1년이 경과한 날부터 시행됩니다(2027년 예상).
침해사고조사심의위원회: 2030년 12월 3일까지 한시적으로 존속합니다.
공포일(관보 게재일)은 아직 확정되지 않았으므로, 정확한 시행 시점은 공포일 확인 후 산정해야 합니다.
2. 주요 개정 내용
가. 기업 정보보호 거버넌스의 법적 격상
나. 침해사고 대응 체계의 선제적 전환
다. 제재·벌칙 체계 전면 강화
이번 개정의 핵심적 변화 중 하나는 침해사고가 직접적 재무 손실로 전환되었다는 점입니다. 기존에는 사후적 과태료 중심의 제재에 그쳤으나, 개정법은 매출액 연동 과징금과 일단위 이행강제금이라는 이중의 재무적 제재 수단을 도입하였습니다.
3. 핵심 쟁점 분석
쟁점 1. '신고 전 직권조사'로의 패러다임 전환
이번 개정의 가장 근본적인 구조 변화는 '신고 후 조사' 체계에서 '의심 정황 기반 직권조사' 체계로의 전환입니다(제48조의4 제1항·제2항). 과기정통부는 내부 정보 유출 등 침해사고 의심 정황을 포착한 경우 침해사고조사심의위원회(제48조의2 제7항)의 심의를 거쳐 기업의 신고 없이도 현장 조사에 착수하고 필요한 조치의 이행을 명령할 수 있습니다.
기업에 미치는 영향: 다크웹(Dark Web) 등 외부 채널을 통한 정보 유출이 정부에 의해 먼저 탐지될 경우, 기업은 사전 준비 없이 조사에 직면하게 됩니다. 따라서 기업은 외부 위협 인텔리전스 모니터링 체계를 갖추어 비정상 행위를 자체적으로 먼저 탐지하고, 자발적으로 신고하는 프로세스를 확립해야 합니다. 이는 법적 '주의 의무' 이행을 입증하는 핵심 요소이자, 향후 과징금 산정 시 감면 근거로 작동할 수 있습니다.
해석상 불확실성: '의심 정황'의 구체적 판단 기준은 하위법령에 위임되어 있습니다. 시행령 입법예고 단계에서 정황의 범위·조사 개시 요건 등이 확정될 예정이므로, 해당 내용을 면밀히 모니터링할 필요가 있습니다.
쟁점 2. 매출액 연동 과징금·이행강제금의 재무적 영향
반복 침해사고 과징금(제48조의8)은 고의 또는 중과실에 의해 5년 이내 2회 이상 침해사고가 발생한 경우 매출액의 3% 이내에서 부과됩니다. 이행강제금(제48조의7)은 시정명령 미이행 시 이행기한 만료 다음 날부터 1일당 매출액의 1만분의 3이 누적 부과되므로, 연 매출 1조 원 기업의 경우 1일당 약 3억 원, 10일 미이행 시 약 30억 원이 누적됩니다.
과징금 감면 전략: 과징금 산정 시에는 ① 위반행위의 내용·정도, ② 기간·횟수, ③ 피해 규모, ④ 피해구제 조치 이행 여부 등 7개 고려사항이 감면 변수로 작동합니다. 따라서 평상시 24시간 이내 신고 체계 구축, 침해사고 관리·대응 매뉴얼 작성·제출, 이용자 통지 인프라 확보, 피해구제 조치 신속 이행 등 사전 컴플라이언스 체계를 갖추는 것이 사고 발생 시 과징금 감면의 실질적 근거가 됩니다.
쟁점 3. CISO의 경영 책임 격상과 거버넌스 재설계
CISO를 임원급으로 지정하고(제45조의3 제1항), 이사회 보고 의무를 명문화하며(제45조의3 제4항), 정보보호위원회 위원장으로 지정한 것(제45조의4)은 보안을 IT 부서의 기술적 이슈에서 경영진의 전략적 의사결정 사항으로 격상시킨 것입니다. CISO는 이제 인력 관리·예산 편성 권한까지 보유하므로, 기존 '자문 역할'에서 '의사결정 참여자'로의 전환이 필요합니다.
해석상 불확실성: 정보보호위원회 설치 의무의 대상이 되는 '자산총액·매출액 기준'은 대통령령에 위임되어 있어 구체적 수치가 확정되지 않았습니다. 또한 중기업에 대한 CISO 지정 특례의 범위도 시행령에서 정해질 예정입니다.
쟁점 4. 정보보호 수준 평가의 대외적 공표 효과
신설되는 정보보호 수준 평가(제45조의5)는 공포 후 1년 경과 시점(2027년 예상)부터 시행됩니다. 과기정통부가 매년 기업의 법적 의무 준수 여부와 정보보호 수준을 평가하고 그 결과를 공개할 수 있게 됨에 따라, 평가 결과가 사실상 기업의 보안 역량을 대외적으로 공표하는 지표로 기능하게 됩니다. 평가 미흡 시에는 개선 권고가 가능하며, 자료 제출을 거부할 경우 3천만원 이하의 과태료가 부과됩니다. 구체적 평가 기준·방법·절차는 하위법령에 위임되어 있어 시행령 입법예고 내용을 확인해야 합니다.
4. 산업별 영향 분석 및 사례 확장
이번 개정안은 정보통신서비스를 제공하는 기업 전반에 적용되나, 산업별로 기존 보안 거버넌스 성숙도, 이용자 데이터 규모, 감독기관 중복 여부에 따라 영향의 범위와 대응 우선순위가 상이합니다.
사례 확장: 반복 침해사고 과징금 시나리오
2025년 발생한 대규모 해킹 사태를 사례로 대입하면, 동일 기업에서 5년 이내에 2회 이상 고의·중과실에 의한 침해사고가 발생할 경우 개정법상 매출액 3% 이내의 과징금이 부과됩니다. 다만, 이는 개별 사안의 사실관계(고의·중과실 여부, 피해 규모, 피해구제 조치 이행 여부 등)에 따라 크게 달라질 수 있으므로, 아래 시나리오는 제도의 구조를 이해하기 위한 참고 자료입니다.
위 시나리오의 일반화에는 한계가 있습니다. 과징금 산정 기준의 구체적 사항은 시행령에 위임되어 있고, '고의·중과실'의 판단 기준에 대한 감독기관의 집행례가 아직 축적되지 않았으므로, 실제 사안에서는 개별 사실관계에 따른 전문가 검토가 필요합니다.
5. 기업 유형별 맞춤 대응 포인트
6. 실무자 자가점검 체크리스트
[법무·컴플라이언스]
• 정보통신망법 제45조의3에 따라 현 CISO가 임원급(상법상 업무집행지시자·집행임원 포함)에 해당하는지 확인하고, 미충족 시 인사위원회에 직급 조정 안건을 시행일 전까지 상정할 것
• 제45조의4에 따른 정보보호위원회 설치 대상(자산·매출 기준) 해당 여부를 확인하고, 해당 시 설치·운영 규정(위원 구성·심의 사항·회의 주기) 초안을 마련할 것 (대상 기준은 시행령 확인 필요)
• 침해사고 발생 시 24시간 이내 신고가 가능하도록 신고 담당자 지정, 야간·휴일 비상연락망, 신고서 양식 사전 준비를 완료할 것
[정보보호·IT]
• 제48조의9에 따라 과기정통부 표준안 기반의 침해사고 관리·대응 매뉴얼을 작성하고, 제출 일정을 확인할 것
• 다크웹 모니터링·비정상 트래픽 탐지 등 실시간 위협 모니터링 체계를 점검하고, 직권조사 대비 내부 시스템 로그 보존 기간·절차를 정비할 것 (자료 보전 위반 시 5년 이하 징역/5천만원 이하 벌금)
• 이용자 통지 의무 이행을 위한 통지 채널(이메일·앱 푸시·SMS 등)과 통지 문안 템플릿을 사전 준비할 것
[경영진]
• CISO의 이사회 정기 보고 주기(최소 반기 1회 권장)·보고 항목을 내규에 반영하고, 정보보호 예산 편성 프로세스를 수립할 것
• 반복 침해사고 과징금(매출액 3%) 리스크를 재무 시나리오에 반영하고, 보안 투자 ROI 분석을 기반으로 연간 보안 예산 증액을 검토할 것
7. FAQ
Q. 우리 회사가 '정보통신서비스 제공자'에 해당하는지 어떻게 판단합니까?
A. 정보통신망법상 '정보통신서비스 제공자'는 전기통신사업법에 따른 전기통신사업자와, 영리를 목적으로 전기통신역무를 이용하여 정보를 제공하거나 정보 제공을 매개하는 자를 포함합니다. 온라인 서비스·앱·웹사이트를 통해 이용자에게 정보를 제공하는 기업은 광범위하게 해당될 수 있으므로, 자사 서비스의 법적 성격을 개별적으로 검토할 필요가 있습니다.
Q. CISO를 반드시 임원급으로 지정해야 합니까? 예외는 없습니까?
A. 개정법 제45조의3 제1항에 따라 중기업을 제외한 정보통신서비스 제공자는 임원급 CISO를 지정해야 합니다. 중기업에 대한 구체적 기준(자산·매출·종업원 수 등)은 대통령령에 위임되어 있어 시행령에서 확정될 예정입니다. 기존 부서장급 CISO를 임원급으로 조정하거나, 신규 임원직을 신설하는 방안을 시행일 전까지 검토해야 합니다.
Q. 직권조사 시 기업이 자료 제출을 거부하면 어떤 불이익이 있습니까?
A. 자료 제출 거부 시 3천만원 이하의 과태료가 부과됩니다(제76조 제2항). 시정명령으로 이어질 경우 미이행 시 1일당 매출액의 1만분의 3의 이행강제금이 누적 부과되며(제48조의7), 자료 보전 의무 위반은 5년 이하의 징역 또는 5천만원 이하의 벌금에 해당합니다(제71조 제1항). 조사 협조 거부는 기업에 극히 불리하게 작용합니다.
Q. 기존 ISMS 인증을 보유한 기업도 추가 조치가 필요합니까?
A. 개정법은 ISMS 인증 사후관리 시 현장심사를 의무화하고(제47조 제8항), 정보보호 관련 법령의 중대 위반 시 인증 취소가 가능하도록 하였습니다(제47조 제10항 제4호). 또한 정보 규모·사회적 파급력이 큰 기업에는 인증기준·절차가 강화될 수 있습니다(제47조의7 제2항). 기존 인증 기업도 강화된 요건에 맞추어 보안 체계를 재점검해야 합니다.
Q. 과태료와 과징금이 중복 부과될 수 있습니까?
A. 개정법 제77조에서 과징금 부과 대상 행위에 대해서는 과태료를 중복 부과할 수 없다는 규정을 신설하였습니다. 다만, 과징금과 이행강제금은 제재 목적이 다르므로(과징금은 위반에 대한 제재, 이행강제금은 의무 이행 강제) 중첩 부과가 가능할 수 있습니다. 구체적인 중복 부과 범위는 향후 시행령과 감독기관의 운영 기준에 따라 확정될 예정입니다.
8. 맺음말
이번 정보통신망법 개정은 단순한 규제 강화를 넘어, 대한민국 디지털 산업 전반의 사이버보안 패러다임을 '사후 수습'에서 '사전 책임'으로 전환하는 계기가 되었습니다. CISO의 임원급 격상과 이사회 보고 의무화(제45조의3), 정보보호위원회 설치 의무(제45조의4)는 보안을 IT 부서의 기술적 과제에서 경영 전략의 핵심 의제로 끌어올리며, 정부의 사전 직권조사권 신설(제48조의4)은 기업이 더 이상 사고를 은폐하거나 신고를 지연하는 것이 사실상 불가능한 구조를 만들었습니다. 특히 반복 침해사고에 대한 매출액 3% 과징금(제48조의8)과 시정명령 미이행 시 1일당 매출액의 1만분의 3이 누적되는 이행강제금(제48조의7)은 보안 실패를 곧 기업의 재무적 생존을 위협하는 직접 변수로 전환시켰습니다.
기업에 요구되는 것은 '완벽한 보안'이 아니라 '책임 있는 거버넌스'입니다. 사고가 발생하더라도 24시간 이내 신고 체계, 이용자 통지 인프라, 피해구제 조치의 신속한 이행, 그리고 침해사고 관리·대응 매뉴얼의 사전 구비는 과징금 감면의 실질적 근거로 작동하며, 이는 곧 컴플라이언스 자체가 리스크 관리의 핵심 수단임을 의미합니다. 기업은 지금 이 시점부터 거버넌스 재설계에 착수하여 규제 변화에 적극 대응해야 합니다.
화우 정보보호센터는 정보보호 관련 법령의 해석 및 규제 대응, 침해사고 발생 시 위기 관리, 정보보호 기술적 자문(해킹 진단, 보안 취약점 분석) 등 법률과 기술을 아우르는 포괄적인 올인원(All-in-One) 서비스를 제공하고 있습니다. 정보통신망법·개인정보보호법·전자금융거래법 등 정보보호 관련 규제 환경 변화에 대한 선제적 자문, 정보보호 거버넌스 설계, ISMS 인증 컨설팅, 침해사고 대응 매뉴얼 수립, 과징금·과태료 방어 전략 수립 등에 관하여 풍부한 경험과 전문성을 보유하고 있습니다. 이와 관련하여 화우 정보보호센터의 도움이 필요하시면 아래 담당자에게 연락하여 주시기 바랍니다.
- 관련 분야
- #정보보호센터
