정부는 9월부터 침해사고 대응을 강화하기 위해 매출 연동 과징금과 경영진 책임을 강조하는 정보통신망법 개정안을 국무회의에서 의결했다고 밝혔습니다. 이 개정안은 침해사고 반복 기업에 대한 과징금을 신설하고 정보보호 책임을 강화하는 내용을 포함하고 있습니다. 이에 따라 고의나 중과실로 5년 내 2회 이상 침해사고가 발생할 경우 매출액의 최대 3%까지 과징금이 부과될 수 있으며, 이전에는 신고 지연 등의 절차 위반에만 제재가 가해졌던 수준이 변경되었습니다.
또한, 사고 이후 재발 방지대책을 이행하지 않은 기업에 대한 이행강제금이 신설되었으며, 해킹 지연신고나 미신고에 대한 과태료도 상향조정되었습니다. 내부 통제 체계 또한 중기업을 제외한 정보통신서비스 제공업체는 임원을 정보보호 최고책임자(CISO)로 지정하고 정보보호위원회를 설치하고 운영해야 하며, 정보보호 인력과 예산 관리, 이사회 보고 등의 책임 범위가 확대됩니다.
정부는 정보통신망법 개정을 통해 사고 발생 이전부터 조사를 시작할 수 있는 조사 체계를 도입하고, 정보보호수준 평가 제도와 정보보호 관리체계 인증(ISMS-P) 의무화를 준비 중입니다. 이러한 법 개정으로 기업의 보안 투자가 늘어나고, 새로운 경영 리스크로 부상하며 내부 통제 체계 점검과 대응 능력이 강화될 것으로 예상됩니다.
과기정통부는 이러한 개정에 대해 “사이버 침해사고의 예방과 대응 체계를 한 단계 향상시킬 것”이라며 “국민의 불안을 해소하고, 기업이 철저한 보안 아래에서 성장할 수 있는 기반을 마련했다”고 설명했습니다.