사이버 침해사고 24시간 내 신고 '의무화'…어길시 과태료 최대 3000만

[이데일리 최연두 기자] 앞으로 기업은 사이버 침해사고 발생 후 이를 인지한 시점부터 24시간 내 기관에 신고해야 한다. 이를 포함해 정부가 권고한 조치를 이행하지 않은 경우 최대 3000만원의 과태료를 부과 받는다.

보안 관련 이미지(사진=픽사베이)

과학기술정보통신부는 이 같은 내용을 담은 개정된 정보통신망 이용촉진 및 정보보호 등에 관한 법(이하 망법)을 14일 시행한다고 밝혔다.

현행 사이버 사고 대응 체계는 신고 시기에 대한 명확한 기준이 없었다. 기존 망법의 48조의3에 ‘침해사고가 발생하면 즉시 과기정통부장관이나 한국인터넷진흥원에 신고해야 한다’고 명시된 것이 전부다.

이로 인해 피해 기업이 침해사고를 신고하지 않거나 지연하는 등의 문제가 발생, 현장 지원이 신속하게 이뤄지는 것이 어려웠다.

또한 침해사고 원인 분석을 통해 도출된 보안체계 강화 등 재발 방지 조치가 의무가 아니라는 점도 지적돼왔다. 현재 이 조치 사항은 ‘권고’로 돼 있어 사고 발생 이후 기업의 후속 대응 실효성이 떨어진다는 것이다.

과기정통부는 이러한 미비점을 보완하기 위해 침해사고 신고 제도를 정비하는 한편, 침해사고 재발 방지 조치에 대한 이행명령 근거, 이행 여부에 대한 점검방법 등을 정보통신망법과 시행령에 담았다.

‘24시간 내’ 신고 의무…시정명령 어길시 과태료 최대 3000만

개정된 망법 시행으로 침해사고가 발생한 정보통신 서비스 제공자(기업)는 사고를 인지한 이후 24시간 이내에 피해 내용과 원인, 대응 현황 등 관련 파악 사항을 우선 신고(최초 신고)해야 한다.

과기정통부는 신고 이후 사고에 대해 추가적으로 확인된 사항을 확인된 시점으로부터 24시간 이내에 보완 신고하도록 규정했다. 침해사고 원인 파악 등으로 최초 신고가 지연되지 않게 하기 위한 취지다.

더불어 개정된 망법은 침해사고 발생 기업에 재발 방지 등 필요한 조치 이행을 현행 ‘권고’에서 ‘명령’할 수 있는 근거를 마련했다.

과기정통부는 기업이 해당 명령을 이행했는지 여부를 점검, 보완이 필요한 사항에 대해 시정을 명할 수 있다. 만약 이를 이행하지 않은 경우 3000만원 이하의 과태료를 부과하도록 하는 내용을 신설했다.

류제명 과기정통부 네트워크정책실장은 “침해사고로 인한 피해확산과 재발을 최소화하기 위해서는 신속한 신고를 바탕으로 한 원인 분석과 조치가 무엇보다 중요하다”면서 “침해사고 신고와 후속조치 체계가 제대로 정착돼 기업들이 다양한 정보보호 기술지원을 받을 수 있도록 노력하겠다”고 말했다.