정보통신망법 개정…CISO 선임 의무 강화, 겸직 금지 명시

최고정보보호책임자(CISO) 선임 의무를 강화한 정보통신망 이용 촉진 및 정보보호 등에 관한 법률(이하 정보통신망법) 개정안이 지난 5월 28일 국회에서 가결, 통과됐다.

이번에 통과한 정보통신망법 개정안은 2016년 9월 7일 신경민 의원이 대표 발의한 법률 일부개정안부터 2017년 7월 11일 오세정 의원이 대표 일부개정안까지 국회 과학기술정보방송통신위원회에 상정된 6개의 개정안을 정보통신방송법안심사소위원회에서 심사해 마련한 대안이다.

공포 후 6개월이 지난 시점(일부는 공포 후 1년)부터 시행될 정보통신망법 개정 주요 내용을 살펴본다.

개인정보보호법과 중복되면 정보통신망법 우선

개인정보의 보호에 관해 현행법과 ‘개인정보보호법’의 적용이 경합하는 경우에 현행법을 우선 적용한다.(제5조). 정보통신 분야 개인정보보호와 관련해 개인정보보호법과 중복 적용되는 경우 정보통신망법이 우선 적용토록 법률에 명시됐다.

방통위 접근권한 설정 관련 실태조사 실시

방송통신위원회가 이용자 정보보호를 위해 접근권한의 설정이 관련 규정에 따라 이뤄졌는지 여부에 대해 실태조사를 실시할 수 있도록 규정이 신설됐다.(제22조의제4항 신설)

일정규모 정보통신서비스 제공자 손해배상책임 이행 필요조치 의무

일정규모 이상의 정보통신서비스 제공자는 손해배상책임의 이행을 위해 보험 또는 공제에 가입하거나 준비금을 적립하는 등 필요한 조치를 해야 한다. 가입 대상 사업자의 범위, 기준 등 필요사항은 대통령령으로 정한다.(제32조의3 신설 등)

정보통신망 이용, 총포·화약류 관련 정보 유통 금지

정보통신망을 이용해 총포·화약류(생명·신체에 위해를 끼칠 수 있는 폭발력을 가진 물건을 포함한다)를 제조할 수 있는 방법이나 설계도 등의 정보 유통을 금지하는 조항을 신설했다.(제44조의7제1항제6호의3 신설).

정보보호최고책임자 겸직 금지, 선임 기준 강화

정보보호 최고책임자의 겸직을 금지하고, 자격요건 등을 대통령령으로 정하도록 했다.(제45조의3제3항 및 제7항 신설 등) 기존 법률에 임원급의 정보보호 최고책임자를 ‘지정할 수 있다’는 표현이 ‘지정하고’로 변경되고, 기준도 ‘종업원 수, 이용자 수 등’으로 표기됐던 것이 ‘자산총액, 매출액’으로 바뀐다.

또 기준에 해당하는 정보통신서비스 제공자는 정보보호 최고책임자를 지정한 후 과학기술정보통신부장관에게 신고해야 한다.

지정·신고된 정보보호 최고 책임자는 법 제4항의 업무 외 다른 업무를 겸직할 수 없다. 해당 업무는 ▲정보보호관리체계의 수립 및 관리·운영 ▲정보보호 취약점 분석·평가 및 개선 ▲침해사고의 예방 및 대응 ▲사전 정보보호대책 마련 및 보안조치 설계·구현 등 ▲정보보호 사전 보안성 검토 ▲중요 정보의 암호화 및 보안서버 적합성 검토 ▲그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위해 필요한 조치의 이행이다.

이용자 통신과금서비스 정보제공 요청

이용자의 신속한 피해 구제를 위해 자신의 의사에 따라 통신과금서비스가 제공되었는지 여부를 확인하기 위해 필요한 경우에는 거래 상대방에게 구매자정보의 제공을 요청할 수 있도록 했다. 구매자정보 제공 요청을 받은 거래 상대방은 정당한 사유가 없는 한 그 요청을 받은 날부터 3일 이내에 이를 제공해야 한다. 관련내용과 절차 등에 필요한 사항은 대통령령으로 정한다.(제58조의2 신설 등)

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network