1.

침해사고 사후 제재∙구제 제도 정비 및 대응 역량 강화

침해사고의 반복적 발생에 대한 과징금 부과 규정이 신설되어, 정보통신서비스 제공자가 고의 또는 중과실로 침해사고를 5년 이내의 기간 동안 2회 이상 발생시킨 경우 매출액의 3%를 초과하지 않는 범위에서 과징금을 부과할 수 있습니다(안 제48조의8).

아울러 이행강제금 제도가 신설되어, 침해사고 조사 시 시정명령 불이행·자료 미제출 또는 허위제출·사업장 출입 또는 조사에 대한 방해나 기피 등의 행위에 대해서는 1일 평균매출액의 0.03% 범위(매출이 없는 경우 1일당 200만 원) 내에서 이행강제금이 부과될 수 있습니다(안 제48조의7).

침해 사고 신고 기한 및 신고 대상이 구체화되어 “침해사고의 발생 사실을 알게 된 때부터 24시간 이내에 침해사고의 발생 일시 및 대응 현황 등”을 신고하도록 개정되었으며(안 제48조의3제1항), 대통령령으로 정하는 침해사고 발생 시 정보통신서비스 제공자가 이용자에게 지체 없이 통지해야 할 의무가 신설되었습니다(안 제48조의3제4항).

아울러, 개정안에 따르면 정보통신서비스 제공자 등은 서비스의 규모와 특성에 적합한 침해사고 관리∙대응 매뉴얼을 작성하여 과학기술정보통신부장관과 한국인터넷진흥원에 제출해야 하며, 과학기술정보통신부장관은 위 매뉴얼의 작성 및 운용 실태를 정기∙수시로 점검하고, 시정조치를 명할 수 있습니다(안 제48조의9). 또한, 이용자 피해 확산 방지 및 신속한 피해구제를 위해 침해사고 발생 시 필요한 조치를 취하고 그 내용과 결과를 과학기술정보통신부에 제출해야 합니다(안 제48조의10).
 
과학기술정보통신부는 침해사고 발생 여부에 대한 조사 필요성, 민∙관합동조사단 구성 필요성 등 침해사고 관련 사항을 심의하기 위해 침해사고조사심의원회를 설치할 예정이며(안 제48조의2 제7항 및 제8항), 과학기술정보통신부장관의 침해사고 분석 대상 역시 ‘침해사고 원인’에서 ‘침해사고 발생 여부 및 원인’으로 확대되어(안 제48조의4), 정부가 침해사고의 정황을 확보한 경우 기업의 신고 없이도 신속히 현장을 조사할 수 있는 근거가 마련되었습니다.
 

2.

정보보호 최고책임자의 권한·지위 등 정보보호 거버넌스 및 내부 관리 체계 강화

중기업을 제외한 정보통신서비스 제공자는 종전에는 직원 중에서 정보보호 최고책임자(CISO)를 지정할 수 있었으나, 앞으로는 임원을 CISO로 지정해야 하며, CISO의 업무에 정보보호에 필요한 인력 관리 및 예산 편성과 이사회에 대한 정보보호 현황 및 주요 사항의 보고가 추가됩니다(안 제45조의3제1항, 제4항제1호마목부터 사목).

또한, 정보통신서비스 제공자는 정보보호에 관한 심의기구인 정보보호위원회를 설치 및 운영해야 하며, 위원장은 CISO가 맡게 됩니다(안 제45조의4).

아울러 주요 정보통신서비스 제공자와 집적정보통신시설 사업자 등에게는 정보보호 분야별 전문성을 갖춘 인력과 충분한 예산을 확보하도록 노력할 의무가 부과됩니다(안 제45조 제5항).
 

3.

국가적 관리∙감독 및 인증 체계 고도화

과학기술통신부장관은 사업자를 대상으로 매년 정보통신망법에 따른 의무의 준수 여부 등 정보통신망의 안정성 및 정보의 신뢰성 수준을 평가해야 하며, 그 결과를 인터넷 홈페이지 등을 통해 공개할 수 있습니다(안 제45조의5). 평가 결과 정보보호수준이 미흡하거나 개선이 필요하다고 인정되는 대상자에 대하여는 개선을 권고할 수 있고, 권고를 받은 대상자는 그 조치 결과를 과학기술정보통신부장관에게 제출해야 합니다.

또한, 생성∙처리되는 정보의 규모와 사회적 파급력으로 인해 침해사고 발생 시 국민의 생명∙신체 또는 재산에 중대한 위험을 초래할 우려가 있는 자에 대해서는 정보보호 관리체계 인증 기준 및 절차를 강화하여 적용할 수 있습니다(안 제47조의7제2항). 정보보호 관리체계 실효성을 제고하기 위해 연 1회 실시되는 사후관리에는 현장심사와 서면심사가 병행될 예정입니다(안 제47조제8항).