배경훈 부총리 겸 과학기술정보통신부 장관이 12일 정부세종청사 기자실에서 ‘2026년도 과기정통부 업무계획 보고’ 관련 브리핑을 하고 있다. 사진=연합뉴스
“보안 불감증 끊는다”…반복 사고 시 매출 3% 과징금
과기정통부는 보안 사고가 반복되는 기업을 대상으로 정보통신망법을 개정해 매출액의 3% 이하를 징벌적 과징금으로 부과하는 제도를 내년 상반기 중 추진한다. 최근 잇따른 대형 해킹 사고에도 불구하고 기업들의 보안 투자가 미흡하다는 지적에 따른 조치다.
현재 최근 5년 내 2회 이상 사고가 발생한 경우 이같은 과징금을 부과하는 정보통신망법 개정안이 나와 있다. 지난 3일 국회 법사위를 통과한 개정안에 따르면 침해사고 지연 신고에 대한 과태료 역시 기존 3000만 원에서 5000만 원으로 상향되며, 시정명령을 이행하지 않을 경우 매일 이행강제금을 부과하는 제도도 포함됐다.
최우혁 과기정통부 네트워크정책실장은 “개정법 시행 시기는 입법이 완료되고 공표된 후 통상적으로 6개월 이후로 예상된다”고 밝혔다.
“이중 처벌 없다”…과기정통부-개보위 역할 분담 명확화
일각에서 제기된 개인정보보호법상 과징금(최대 3%)과의 중복 규제 우려에 대해 정부는 명확한 입장을 내놨다. 기업 입장에서는 한 번의 해킹 사고로 과기정통부와 개보위로부터 각각 매출액의 3%씩, 최대 6%의 과징금을 맞는 것 아니냐는 우려가 있었다.
이에 대해 최 실장은 “개인정보가 유출이 되면 개인정보위가 과징금을 부과하고, 침해사고가 생기면 과기정통부가 부과하는 식”이라며 “대신에 침해사고가 생겼는데 개인정보 유출이 있으면 개인정보위만 (부과)하도록 돼 있어 중복성은 없다”고 설명했다. 즉, 해킹으로 시스템이 마비되는 등 ‘침해사고’가 발생하면 과기정통부가 제재하고, 여기서 더 나아가 데이터가 밖으로 새어 나가는 ‘유출’이 확인되면 개보위 소관으로 넘겨 이중 부과를 막겠다는 취지다.
CEO 책임 명문화…이용자 보호 조치도 강화
경영진의 책임도 강화된다. 정부는 CEO의 보안 책임을 법령에 명문화하고, 정보보호최고책임자(CISO)의 권한을 강화해 보안을 기업 경영의 핵심 가치로 정립하도록 유도할 계획이다.
이와 함께 이용자 보호 조치도 강화된다. 해킹 사고 발생 시 사업자가 이용자에게 즉시 통지하도록 의무화하고, 정부가 미디어를 통해 알림을 제공하는 체계도 구축한다. 또한, 피해 입증 책임을 완화해 이용자들이 손해배상을 받기 쉽게 하고 단체소송 제도 도입도 검토한다.
정부는 해킹 공격에 선제적으로 대응하기 위한 ‘해킹과의 전면전’도 선포했다. 불시에 진행하는 보안 점검 대상을 기존 이동통신 3사에서 대형 플랫폼 기업 등으로 확대하고, 정보보호관리체계(ISMS) 인증을 중대하게 위반할 경우 인증을 취소하는 등 사후 관리를 대폭 강화한다.
내년 상반기에는 해킹 정황 포착 시 즉각적인 ‘직권 현장 조사’를 실시하고, 법무부와 협의해 ‘특수사법경찰(특사경)’ 도입도 추진하기로 했다. 과기정통부는 ‘해킹 대응 LLM’ 개발 등을 통해 현재 건당 약 3개월이 걸리는 침해사고 대응 시간을 2028년까지 10일 수준으로 단축하겠다는 목표를 제시했다.
배경훈 부총리 겸 과기정통부 장관은 “정보 보안은 AI 시대의 기본이다. 만연한 보안 불감증에 빠져 보안 사고를 반복하는 기업에 대해서는 매출액의 3%까지 징벌적 과징금을 부과하겠다”며 “아울러, 해킹과의 전면전을 위한 정부의 보안 역량도 더욱 강화하겠다”고 강조했다.
