[아이뉴스24 안세준 기자] 앞으로 정보통신서비스 제공자는 침해사고로 서비스 장애나 중단이 2시간 이상 발생할 경우 이용자에게 이를 알려야 하는 법적 근거가 마련된다. 정보보호최고책임자(CISO)의 역할도 확대돼 정보시스템 도입 시 보안성 검토와 수탁업체 보안수준 점검 권한이 명시될 전망이다.
![정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 일부개정령안이 입법예고됐다. [이미지=생성형 AI로 제작]](https://image.inews24.com/v1/4bca515164c6b7.jpg)
과학기술정보통신부는 지난 9일 이 같은 내용을 담은 '정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령' 일부개정령안을 입법예고했다. 입법예고 기간은 오는 8월 18일까지다.
이 개정안은 정보통신망법 개정에 따른 후속 조치로, 침해사고 예방과 사고 발생 시 신속한 대응, 피해자 구제 기반을 강화하기 위해 법률에서 위임한 세부 사항을 시행령에 반영하는 것이 핵심이다.
개정안에는 침해사고 통지 의무가 담겼다. 침해사고로 정보통신서비스 장애 또는 중단이 2시간 이상 발생한 경우 정보통신서비스 제공자가 이용자에게 사고 발생 사실을 통지하도록 하는 내용이다. 대규모 장애나 해킹 사고 발생 시 이용자가 사고 사실을 뒤늦게 알게 되는 문제를 줄이려는 취지로 풀이된다.
정보보호최고책임자(CISO) 관련 규정도 강화된다. 개정안은 CISO 업무에 정보시스템 도입 시 보안성 검토·승인, 수탁업체 보안수준 점검·감독 권한 등을 추가했다. 외부 업체를 통한 서비스 운영과 개발이 늘어난 만큼, 본사의 정보보호 책임 범위를 수탁사 관리 영역까지 넓히겠다는 의미다.
정보보호위원회 설치·운영 의무도 신설된다. 정보보호위원회 설치 대상은 CISO 신고 의무가 있는 정보통신서비스 제공자로 규정됐다. 위원회 심의 사항에는 정보보호 분야 인력과 예산 확보에 관한 내용 등이 포함된다.
정보보호 관리체계 인증제도(ISMS)의 실효성도 높인다. ISMS 인증 심사 방식은 서면심사와 현장심사를 병행하도록 하고, 강화된 인증 기준과 절차가 적용되는 대상도 구체화한다.
침해사고조사위원회 관련 세부 규정도 마련된다. 조사위원회 심의 사항, 구성, 회의 소집과 의결 정족수, 위원 제척·기피·회피·해촉 기준 등이 시행령에 새로 담긴다.
과기정통부는 침해사고 관리·대응 매뉴얼 작성과 제출 의무 대상도 정하기로 했다. 장관이 필요하다고 판단할 경우 해당 매뉴얼의 작성·운영 실태를 점검할 수 있도록 하는 내용도 포함됐다.
관련 업계는 시행령 개정으로 주요 정보통신서비스 사업자의 사고 대응 책임이 한층 명확해질 것으로 보고 있다. 서비스 장애 통지, CISO 권한 확대, 수탁업체 관리 의무가 맞물리면서 기업들의 정보보호 조직과 내부 통제 부담도 커질 전망이다.
/안세준 기자([email protected])
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기