지난 칼럼에 이어 이번 칼럼에서는 지난해 침해사고와 관련하여 개정된 정보통신망법 규정을 검토해 보려고 한다. 올해 3월에 개정된 정보통신망법의 주요 내용은 다음과 같다.
‘정보통신서비스 제공자’는 전기통신사업자와 온라인 영리사업 영위자를 포함한다. 영리를 목적으로 홈페이지만 제공해도 포함되는 적용 범위가 매우 넓은 용어다.
CISO, 다시 임원!
우선 CISO 직위를 ‘임직원’에서 ‘임원’으로 바꾼 것이 눈에 띈다. 2012년 정보통신망법에 처음 CISO가 규정된 때부터 CISO의 직위는 임원이었는데, 2021년 6월 법 개정 시 ‘임직원’으로 바꾸고, 같은 해 12월 시행령 개정을 통해 '자산총액이 5조 원 미만이거나, 정보보호관리체계(ISMS) 인증 의무대상 기업 중 자산총액이 5천억 원 미만인 정보통신서비스 제공자에는 정보보호팀장 등 직원이 CISO가 될 수 있도록 허용함으로써 'C(Chief)'의 취지가 무색해진 바 있다. 대부분의 중견기업과 상당수의 대기업에서 이를 근거로 팀장급을 CISO로 선임했다. 책임은 'C'급이나 권한은 여전히 ‘직원’인 힘든 자리가 됐다.(강은성, 9년 만에 바뀐 정보통신망법의 CISO 업무와 직급, 2021.07.27.)
CISO 업무에 관련 인력 관리, 예산 편성, 이사회 보고, 정보보호위원회(위원장 CISO) 같이 CISO를 중심으로 정보보안 거버넌스를 강화하는 방향으로 법이 개정된 것도 거의 5년 만에 CISO 직위를 다시 임원(중기업 제외)으로 바꾼 한 원인이 됐을 듯싶다. 늦었지만 잘된 일이다.
정보보호 수준 평가제?
정보통신서비스 제공자와 정보통신망 연결기기의 제조업자와 수입업자 중 일정 요건의 사업자를 대상으로 ‘매년’ 시행하는 ‘정보보호 수준 평가’ 제도(제45조의5, 2027.4.1. 시행)가 신설된 것 역시 주목할 만하다.
정보통신망 연결기기(정보통신망법 제45조 제1항, 시행령 제36조의2)는 컴퓨터, 스마트폰 뿐 아니라 스마트 가전, 자동차, 의료기기 등 인터넷(네트워크) 접속 기능이 있는 대부분의 기기를 포함한다(유럽연합 사이버복원력법(CRA)에서 정의한 디지털 제품(Products with digital elements)과는 달리 순수 소프트웨어는 포함되지 않는다).
‘수준 평가제’는 정보통신서비스 제공자 뿐 아니라 정보통신망 연결기기 제조업자와 수입업자 중 '사업의 종류, 매출액 규모, 이용자의 수 등이 대통령령으로 정하는 기준에 해당하는 자'에 대해 '정보통신망법에 따른 의무의 준수 여부 등 정보통신망의 안정성과 정보의 신뢰성 수준'을 평가하는 제도인데, 적용받을 기업이 상당해 보임에도 제도의 목적(기존 제도 보완으로는 해결되지 않는 어떤 문제를 해결하기 위해 이 제도를 도입하는지)과 범위, 그 목적을 달성하기 위한 평가 기준 및 방법이 아직 알려진 게 없다.
대상이 될 만한 몇 기업에 물어보니 이름이 비슷한 다른 제도를 대며 오히려 필자에게 되묻는다. 그러고 보니 지금은 없어진 ‘정보보호 안전진단’ 뿐 아니라 ‘정보보호 관리등급’(정보통신망법 제47조의5(정보보호 관리등급 부여), ‘정보보호 사전 점검’(정보통신망법 제45조의2(정보보호 사전점검), ‘정보보호 준비도 평가’(정보보호산업법 제12조(정보보호 준비도 평가 지원 등) 등 자세히 보면 다르지만, 주요 기업 CISO들도 구분하기 어려운 보안 평가 제도가 여럿 존재한다.
법적 의무로 도입되는 제도라면, 기존 제도와 뚜렷이 구분되고, 그에 따른 효과도 분명해야 한다. 그래야 기업들이 단지 ‘법적 의무’를 다하기 위한 것이 아니라 그동안 부족했던 보안 위험을 ‘가성비’ 있게 보완하는 계기로 삼을 수 있다.
더욱이 이번 개정에서 일정 요건의 정보통신서비스 제공자를 대상으로 ‘ISMS 강화 인증’(제47조의7(정보보호 관리체계 인증의 차등적용 등) 제도가 함께 신설된 만큼, 중복 규제로 인한 기업의 부담을 최소화하는 세밀한 설계가 필요하다.
한발 더 나아가 근본적으로는, 기업에 미치는 영향이 큰 제도를 법제화할 때는 정부, 기업, 전문가그룹 등 주요 이해관계자들이 논의를 통해 제도에 대한 예측 가능성을 높이는 것이 바람직하다고 생각한다.
일정 요건의 침해사고 발생 시 이용자 통지 및 제재 강화
침해사고 발생 시 규제기관에 신고 의무에 더해 일정 요건 침해사고 발생 시 이용자에게 통지(제48조의3(침해사고의 신고 등) 제4항)하는 규정과 일정 요건의 침해사고 발생 시 과징금 부과(제48조의8(침해사고의 반복적 발생에 대한 과징금의 부과) 규정이 신설된 것 또한 큰 변화다.
“정보통신서비스 제공자의 고의 또는 중과실로 인하여 침해사고가 5년 이내에 2회 이상 발생한 경우”에는 대통령령으로 정하는 매출액의 3% 이하의 과징금을 부과할 수 있다. 비슷한 시기에 개정된 개인정보보호법에서 ‘전체 매출액의 10% 이하 과징금’ 규정을 신설한 것과 같은 맥락이다. 지난해에 큰 침해사고가 여럿 터진 탓인지 이 규정 역시 논란이 거의 없었고, 후속 조치로서 ‘고의 또는 중과실’의 기준과 과징금의 모수가 되는 ‘매출액’의 기준 정도가 관심의 대상이 되는 것 같다.
기업이 침해사고를 신고하면 그에 따른 ‘후폭풍’을 감수해야 한다. 개인정보가 유출됐다면 더욱 그렇다. 기업의 규모나 역량 등에 걸맞은 수준의 보안 투자와 보안 대책을 수립·운용하고 있었다면, 불법적인 침해사고를 당한 기업이 피해자임에도 사고 기업을 향해 쏟아지는 엄청난 사회적 비난은 기업이 신고를 주저하게 만드는 주요 원인이 되고 있다. 물론 그동안 개인정보 유출 사고에서 손해배상 등 책임을 회피해 왔던 기업의 대응이 이런 사회적 비난을 자초한 면이 있음도 부인할 수 없다.
하지만, 오늘날 AI를 활용한 정교한 피싱(Phishing)과 기술 취약점에 대한 공격, 공개소스나 수탁업체 등 공급망을 통한 공격, 심지어 내부자 매수를 통한 인증정보 획득까지 전문 공격집단을 방어해 낼 수 있는 개별 기업은 그리 많지 않을 것 같다. 침해사고 예방을 위한 국가적인 지원 활동과 함께 사고 발생 시 신속하게 신고함으로써 피해를 최소화할 수 있도록 침해사고에 대한 국가적 대응·분석체계를 갖추는 것이 우리 사회에 더 이익이 될 것으로 보인다.
최고경영진이 보안 경영에 나서야
관련기사
- [강은성 보안칼럼] 침해사고와 보안 입법- 2014년 vs 2026년①2026.04.25
- [강은성 보안칼럼] 인공지능과 함께 살아가기-문해력, 질문, 판단2026.03.28
- [강은성 보안칼럼] 글로벌 사이버 위협, 2025년 회고와 2026년 전망2026.01.03
- [강은성 보안칼럼] CISO 3만 명 시대...CISO라는 '직업'2025.11.30
지난 3월 정보통신망법과 개인정보보호법의 개정은, 지난해 잇따른 보안 사고를 통해 국민의 불안과 우려가 큰 사회적 상황에서 이뤄졌다. 그에 따라 보안 사고 예방 및 대응에 대한 최고 경영진의 책임을 분명히 하고, 대규모 사고 발생 시 대규모 금전적 제재를 통해 기업의 책임을 묻는 데 초점을 맞추고 있다.
따라서, 기업에서도 기업 경영 환경의 변화에 능동적으로 대응하기 위해 보안 예산과 전문 인력을 확충하고, 전문 CISO·CPO를 영입하며, 규제 준수 수준을 넘어, 기업 경영과 업무 처리, 개발과 생산, 영업, 서비스 프로세스 전반에 보안 및 개인정보 보호 프로세스를 내재화함으로써 보안 위협에 대응하고, 보안 위험을 관리해야 한다. 기업의 최고 경영진이 기업의 지속적 성장을 위해 보안 경영에 적극 나서야 할 때다.
*본 칼럼 내용은 본지 편집방향과 다를 수 있습니다.
