[입법예고]SKT 사태 계기, '사이버침해 대응 매뉴얼·이행강제금' 도입

정보통신망 이용촉진 및 정보보호 등에 관한 법률 일부개정법률안

 

대규모 개인정보 유출 사고에 신속 대응하기 위해 정부가 침해사고 '대응 표준 매뉴얼'을 법제화하고, 자료 제출을 거부한 기업에 '이행강제금을 부과'할 수 있도록 하는 법 개정이 추진된다.

조인철 의원(더불어민주당, 초선, 제22대 국회)은 2025년 5월 22일 이 같은 내용을 담은 [정보통신망 이용촉진 및 정보보호 등에 관한 법률 일부개정법률안](의안번호:10586)을 대표 발의했다. 최근 SKT의 대규모 해킹 사건으로 개인정보 유출 사고에 대한 국민적 우려가 커지는 가운데 발의된 것이어서 국회 논의가 주목된다.

■ '사이버침해 대응 매뉴얼' 표준안 마련·제출 의무화

개정안은 신설 제48조의7(침해사고 관리·대응 매뉴얼) 제1항에 따라, 사이버 침해사고에 대한 사전 예방과 체계적인 사후 대응을 위해 과학기술정보통신부장관이 '침해사고 관리·대응 매뉴얼'의 표준안을 마련·보급하도록 했다.

정보통신서비스 제공자(사업자) 등은 이 표준안을 바탕으로 자체 매뉴얼을 작성하고, 과기정통부장관과 한국인터넷진흥원에 제출해야 한다(신설 제48조의7 제3항). 작성 이후 변경이 있는 경우에도 동일한 절차를 따라야 한다.

또한 과기정통부는 매뉴얼의 작성 및 운용 실태를 정기 또는 수시로 점검하고, 필요한 경우 시정 명령을 내릴 수 있도록 했다(신설 제48조의7 제4항).

■ 자료 미제출 땐 '이행강제금'…최대 일 200만 원

신설 제48조의8 제1항에 따라, 정보통신서비스 제공자가 침해사고 관련 자료 제출 명령을 따르지 않을 경우 이행기한을 정해 재명령할 수 있고, 이를 다시 이행하지 않으면 이행강제금을 부과할 수 있다. 강제금은 일일 평균 매출액의 1만분의 3(0.03%) 범위에서 산정, 매출액이 없거나 산정이 어려운 경우에는 1일당 200만 원 이내로 부과할 수 있도록 했다.

해당 징수 업무는 국세청장에게 위탁할 수 있다(신설 제48조의8 제4항).

■ 예보·경보 시 방송사·통신사 통해 정보 전달…피해자 구제도 의무화

또한 침해사고 발생 시 신속한 정보 전파를 위해 과기정통부장관이 방송사업자나 통신사업자에 대해 경보 내용을 방송·문자·홈페이지 등을 통해 전달하도록 요청할 수 있는 권한이 신설됐다(신설 제48조의2 제7항).

특히 현행법은 사업자에게 침해사고 발생 시 복구 및 재발 방지 조치를 의무화하고 있으나, 피해 이용자에 대한 직접적 구제는 규정돼 있지 않았다. 개정안은 이를 보완해 제48조의4를 개정, 피해자 구제 조치까지 포함해 사업자가 이행하도록 의무화하고 과기정통부장관의 명령 근거도 마련했다.

아울러 과기정통부장관은 침해사고 정황이 발생한 경우에도 사업자에게 자료 제출을 명령할 수 있도록 권한을 확대했다(신설 제48조의4 제6항).

■ 기업 대응 유도 취지…'형식적 매뉴얼'에 그칠 수도

이번 개정안은 대규모 개인정보 유출 사고에 대한 정부의 대응 체계를 보완하고, 기업의 적극적인 사고 대응을 유도하기 위한 제도적 기반 마련으로 평가된다. 그러나 최근 SKT 해킹 사건처럼 대규모 침해 사고가 반복되고 있는 상황에서, 사전 대응 매뉴얼 중심의 관리 체계가 실제 침해 방지에 실효성을 가질 수 있을지에 대해선 회의적인 시각도 나온다.

특히 일선 기업이 단순히 매뉴얼을 형식적으로 작성하거나 위기 상황에서도 실질적으로 작동되지 않을 경우 '형식적 대응에 그칠 수 있다'는 우려가 제기된다. 이에 따라 이행 기준의 형평성과 현실성 확보가 핵심 과제로 꼽힌다.

개정안은 공포 후 6개월이 경과한 날부터 시행될 예정이다. 이행강제금 부과 조항은 법 시행 이후 발생한 침해사고부터 적용된다.

 

[입법예고]SKT 유심 해킹 사고…'이용자 위약금 면제' 법제화

 

[입법예고]해외 플랫폼 '국내대리인' 지정 요건 강화…책임 회피 차단한다