침해사고 발생 기업 법적의무 강화…정부, 적극 개입해 조사·피해확산 방지

개인정보 유출, 디도스(DDoS) 공격 등 사이버 침해사고가 최근 늘어나고 있는 가운데, 정부가 침해사고 조사·분석과 재발방지 대책 수립에 적극 개입할 수 있게 됐다. 지난해 말 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법)이 개정·시행됨에 따라, 정부는 사고발생 기업의 동의 없어도 침해사고 관련 자료 보전을 요구해 제출 받을 수 있고 소속 공무원이 현장 조사도 수행할 수 있게 됐다.

만일 자료 제출이나 조사를 거부하거나 거짓으로 자료를 제출하면, 해당 기업에 과태료가 부과된다.

지난해 12월 11일 정보통신망법이 개정·시행됐다. 제48조의4(침해사고 원인 분석 등) 1~5항 등의 개정으로 침해사고 발생 기업이 수행해야 하는 피해 확산 방지를 위한 조치 요건이 구체적으로 명시됐다. 침해사고를 겪은 기업의 법적 의무가 확대된 셈이다. 민간 기업(정보통신서비스제공자)의 사고 조사와 대책 수립에 있어 정부의 역할과 권한은 강화됐다.

주요 개정 내용을 보면, 정보통신서비스제공자 등 정보통신망을 운영하는 자는 침해사고가 발생하면 침해사고의 원인을 분석하고 그 결과에 따라 피해 확산 방지를 위해 사고 대응, 복구 및 재방 방지에 필요한 조치를 해야 한다. 아울러 과학기술정보통신부장관은 그 침해사고 원인 분석과 피해 확산 방지, 사고 대응, 복구, 재발 방지를 위한 대책을 마련해 이 정보통신서비스제공자가 필요한 조치를 하도록 권고할 수 있는 내용이 신설됐다.

과기정통부장관은 중대한 침해사고가 발생한 경우 원인 분석과 대책 마련을 위해 정보보호 전문성을 갖춘 민·관합동조사단을 구성할 수 있다. 이와 더불어 침해사고 원인 분석과 대책 마련을 위해 필요시, 정보통신망의 접속 기록 등 관련 자료 보전과 침해사고 관련 자료 제출을 과학기술정보통신부장관이 명할 수 있게 됐다.

뿐만 아니라 중대한 침해사고는 소속 공무원 또는 민·관합동조사단이 사업장에 출입해 침해사고 원인을 조사할 수 있다는 내용도 명시됐다.

이와 관련해 박용규 한국인터넷진흥원(KISA) 사이버침해대응본부 침해사고분석단장은 “이전에는 중대한 침해사고의 경우에만 민·관합동조사단이 자료 보전과 제출을 요구할 수 있었다. 정보통신망법 개정으로 중대 사고뿐 아니라 모든 사고에 대해 자료 보전을 명령하고 제출을 요구할 수 있게 됐다”며 “정보통신망법에서는 그동안 개인정보보호법과는 달리 공무원이 현장에 나가 조사할 수 없었는데, 법 개정으로 중대한 침해사고 조사에 소속 공무원이 현장에 나갈 수 있도록 명문화돼, 적법하게 진행하고 있다”고 말했다.

자료 제출을 거부하거나 거짓 자료를 제출할 경우, 그리고 사업장 출입과 조사를 방해·기피할 경우 과태료가 부과된다는 내용도 신설(제76조11의3~4)됐다. 자료 제출에 관한 법 위반시 과태료는 횟수에 따라 300만원에서 최대 1000만원까지 부과된다. “기업이 수용하지 않는 경우, 과태료뿐 아니라 행정처분도 내려져 그 결과가 공표된다”고 박 단장은 설명했다.

따라서 기존에는 침해사고 피해 기업이 사고를 인지하면 빠른 시간(즉시) 내에 과기정통부, KISA 등 관계 기관에 신고하는 정도의 법적 의무가 있었지만, 원인 분석과 피해 확산 방지 조치를 적극적으로 수행해야 하는 의무가 추가됐다. 자료 보전과 제출 등 침해사고 정부와 조사단의 요구에도 적극 부응해야 한다.

박 단장은 “기존에는 사고 원인 분석을 위한 현장 조사를 위해서는 해당 기업에 기술지원을 요청해 동의를 받아야 나갈 수 있었지만, 이제는 그 한계를 탈피해 모든 사고에 대해 필요한 자료를 즉시 요구하고 바로 조사를 할 수 있게 됐다. 자료 제출에는 침해사고 후 기업이 자체 분석, 대응 조치한 결과도 포함된다”며 “결과적으로 모든 사고의 원인에 더욱 적극적으로 접근해 피해 확산을 방지하고 재발이 되지 않도록 대응하자는 것”이라고 강조했다.

이같은 정보통신망법 개정에 따른 원인 분석을 위한 자료 보전과 제출, 민·관합동조사단 구성·운영 등은 최근 발생한 LG유플러스 침해사고 등에 적용됐다. LG유플러스 민간합동조사단은 지난 1월 18일부터 운영 중이며, 사안이 확대되면서 특별조사점검단도 구성된 바 있다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

[컨퍼런스 안내] 클라우드 보안 & 제로트러스트 컨퍼런스 2024

  • 일시: 2024년 7월 4일 오전 8:40 ~ 오후 6:00
  • 장소: 서울 서초구 강남대로 213 양재 엘타워 6층 그레이스홀

[무료 웨비나] B2B기업, AI 시대 어떻게 고객을 발굴할 것인가?

  • 정민아 <하룻밤에 읽는 B2B 마케팅> 저자
  • 2024년 7월 9일 14:00~15:00

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다