1. 개정 정보통신망법 개요 및 시행 일정
지난 뉴스레터에서 안내드린 「정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 “정보통신망법”) 개정안」이 ‘26년 3월 12일 국회 본회의를 통과하여 국무회의 심의를 앞두고 있습니다. 본 개정안의 핵심은 침해사고 예방 및 발생 시 대응 강화를 위해 정보보호 제도를 대대적으로 개편하고 아울러 불법스팸에 대한 규제를 강화하는 것에 있으며 그 주요 내용은 아래 표와 같습니다. 본 개정안은 공포 후 6개월(일부 규정*은 1년)이 경과한 날부터 시행될 예정입니다.
* 정보보호수준 평가에 대한 제45조의5 및 그 벌칙규정인 제76조제2항제6호의8의 개정 규정
| 정보보호 제도 개편 |
CISO 책임 강화 | ● 중기업을 제외한 정보통신서비스 제공자는 임원을 정보보호 최고책임자로 지정(CISO) ● CISO의 업무에 정보보호 인력 관리 및 예산 편성, 이사회에 대한 정보보호 현황 및 주요사항 보고가 추가됨 |
| 정보보호위원회 설치·운영 | ● 시행령에서 정한 일정 규모 이상의 정보통신서비스 제공자에 대한 정보보호위원회 설치·운영 의무 부과 | |
| 정보보호수준 평가 공개 | ● 시행령에서 정한 특정 사업에 종사하는 일정 규모 이상의 정보통신서비스 제공자에 대한 과학기술정보통신부 장관의 정보보호 수준 평가 및 평가 결과 공개 | |
| ISMS 인증 강화 | ● 시행령에서 정한 침해사고 발생 시 국민의 생명·신체 또는 재산에 중대한 위험을 초래할 우려가 있는 자에 대한 정보보호 관리체계 인증(ISMS 인증) 기준 및 절차 강화 | |
| 침해사고 발생 시 이용자에 대한 통지 | ● 시행령에서 정한 침해사고 발생 시 지체 없이 이용자에게 통지 | |
| 침해사고 조사 권한 강화 | ● 시정명령 불이행, 자료 제출 거부, 거짓 제출, 조사 방해 시 이행강제금 부과 ● 침해사고 발생 의심 정황이 있을 경우 발생 여부 및 원인 조사 가능 |
|
| 반복적 침해 사고에 대한 과징금 부과 | ● 고의 또는 중과실에 의하여 침해사고가 5년 이내의 기간 동안 2회 이상 발생한 경우 시행령에서 정한 연간 매출액 3% 이하의 과징금 부과 | |
| 침해사고 관리·대응 매뉴얼 작성 | ● 시행령에서 정한 정보통신서비스 제공자의 침해사고 관리·대응 매뉴얼 작성 및 제출 | |
| 신속한 피해 구제 | ● 침해사고로 인한 이용자 피해를 신속히 구제할 의무 부과 | |
| 불법스팸 방지 | 전송자격 인증을 받은 자를 통한 스팸 발송 | ● 영리 목적의 광고성 정보(스팸) 발송 위탁 시 전송자격인증을 받은 자를 통해 발송 |
| 스팸 규제 위반 시 과징금 부과 | ● 사전 동의 취득 등 스팸 관련 규제 위반 시 관련매출액 6% 이하의 과징금 부과 |
2. 관련 동향
가. ISMS·ISMS-P 인증 관련 정부 동향
이번 법 개정에 발맞춰 과학기술정보통신부(이하 ‘과기정통부’) 및 개인정보보호위원회(이하 ‘개인정보위’)는 ISMS∙ISMS-P 인증제 개편을 준비중이며, 2026년 3월 12일 「ISMS∙ISMS-P 인증제 실효성 강화를 위한 현장 간담회」를 개최하여 정부가 마련 중인 인증제도 개선 방향을 소개하였습니다.
구체적으로, 위험 수준에 따라 인증을 3단계(간편∙표준∙강화)로 구분하고, 통신사, 대형 플랫폼 등 고위험군에 대해서는 보다 강력한 인증 기준을 적용할 것이라고 밝혔습니다.
그 외 ▲인증 의무대상 확대 및 인증기준 강화, ▲예비심사제도 신설과 기술심사∙현장실증형 심사 등 심사방식 개편, ▲유출사고 방지를 위한 인증 사후관리 강화, ▲심사기관 감독 강화 및 전문성 제고를 통한 심사 품질 향상 등이 제시되었습니다.
정부는 향후 간담회 논의 결과를 바탕으로 「ISMS∙ISMS-P 인증제 실효성 강화방안」을 수립∙발표할 예정입니다.
나. 추가 법안 발의 관련 동향
이번 개정안에는 포함되지 않았으나, 현재 국회에는 침해사고 대응의 실효성을 제고하기 위해 침해사고 미신고에 대한 제재 강화를 골자로 하는 추가 개정안이 발의되어 논의 중입니다. (2026. 2. 9. 발의된 김용만의원안, 2025. 11. 12. 발의된 김소희의원안 참고)
법안의 주요 내용은 다음과 같습니다.
|
3. 시사점
- (정보보호 거버넌스 점검·강화) 개정 법률에 따라 보다 높은 수준의 정보 보호 의무가 부과되는 한편 반복적 침해 사고 발생 시 가중된 과징금이 부과되는 등 제재가 강화되므로, 기존의 정보보호 거버넌스 체계를 점검·강화하는 한편 이를 위한 추가적인 보안 투자를 검토할 필요가 있습니다.
- (사고 발생 시 통지 프로세스 정비) 개인정보보호법에 따른 개인정보 유출 통지, 전기통신사업법에 따른 전기통신역무 제공 중단 통지 등 다른 법률상의 통지 의무와 정보통신망법에 따른 침해사고 발생 통지 등 제반 법률에 따른 통지 의무를 철저히 준수할 수 있도록 사고 발생 시 통지에 관한 프로세스를 수립·정비할 필요가 있습니다.
- (조사 대응 프로세스 정비) 정보통신망 침해사고의 발생 의심 정황이 있는 경우에도 조사 개시가 가능하게 되는 등 과기정통부의 조사 권한이 강화되는 한편, 개인정보 유출 사고에 있어서 개인정보위의 조사 권한 강화도 추진되고 있으므로, 조사 초기 단계부터 마무리 단계까지 적절한 조사 대응이 가능하도록 침해사고 조사 대응 체계를 수립하는 한편 이를 위한 내부 지침 등을 마련할 필요가 있습니다.
- (하위법령 개정 동향 모니터링) 정보보호위원회 설치, 강화된 ISMS 인증 기준 적용, 이용자 피해 구제 조치 내용 등 구체적인 적용 기준이나 내용이 시행령, 고시 등 하위법령에서 정해질 예정이므로, 하위법령 개정 동향을 모니터링 하는 한편 필요 시 입법·행정예고안에 대해 적극적으로 의견을 개진할 필요가 있습니다.
- (스팸 규제 컴플라이언스 정비·수립) 당초 스팸 규제 위반 시 과태료가 부과되었으나 개정 법률에 따라 관련 매출액 6% 이하 과징금이라는 높은 수준의 제재가 부과될 수 있으므로, 스팸 관련 체크리스트, 스팸 발송 전 점검 절차 마련 등을 통한 스팸 규제 컴플라이언스 체계를 정비 또는 수립할 필요가 있습니다.
이상과 같은 정보통신망법에 따른 정보보호 등 관련 거버넌스/프로세스/컴플라이언스 수립·정비, 규제 모니터링 등에 관하여 도움이 필요하신 경우 언제든 연락주시기 바랍니다.
About Shin & Kim’s ICT Group
법무법인(유) 세종 ICT그룹은 ICT 분야의 독보적인 전문성과 인적 네트워크를 보유하고 있으며, 고객들로부터 최근 수년간 가장 높은 평가를 받고 있습니다. 방송과 통신, 개인정보, 인터넷 IT 분야에서 축적된 역량을 바탕으로 방송·통신·ICT 규제 동향 파악 및 대관, 법제개선·입법컨설팅, 규제영향력 분석과 기업의 전략 수립 등에 대한 종합적인 법률자문을 제공하고 있습니다. AI Compliance, 침해사고 대응 등과 관련하여서도 다양한 업무경험과 전문성을 보유하고 있으므로, 보다 전문적인 내용이나 궁금하신 사항이 있으면 언제든지 연락 주시기 바랍니다.
