최근 사회적 이슈가 되고 있는 대규모 정보통신망 침해 및 개인정보 유출 사고와 관련하여, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 “정보통신망법”) 개정안」이 ’25년 12월 3일 국회 법제사법위원회를, 「개인정보 보호법 개정안」이 ’25년 12월 17일 국회 정무위원회를 통과하였습니다. 위 개정안들은 공포 후 6개월(일부 규정은 1년)이 경과한 날부터 시행될 예정입니다.

아래에서 각 개정안의 주요 내용 및 시사점에 대해 살펴보도록 하겠습니다.

 

1. 정보통신망법 개정안 관련

1) 개정안 주요 내용

정보보호위원회 설치 의무 및 CISO 역할 강화
  • 자산총액, 매출액 등이 대통령령에서 정하는 기준에 해당하는 정보통신서비스 제공자는 CISO를 위원장으로 하는 정보보호위원회를 설치·운영하여야 함
  • CISO의 업무에 (i) 정보보호에 필요한 인력 관리 및 예산 편성, (ii) 정보보호 현황 및 주요사항의 이사회 보고 등이 추가됨
정보보호수준 평가
  • 과학기술정보통신부장관(“과기정통부장관”)은 사업의 종류, 매출액 규모, 이용자의 수 등이 대통령령으로 정하는 기준에 해당하는 자를 대상으로 매년 정보통신망의 안정성 및 정보의 신뢰성 수준을 평가하여야 함
  • 정보보호수준 평가의 결과는 과기정통부의 인터넷 홈페이지 등을 통하여 공개될 수 있고, 과기정통부장관은 그 평가 결과에 따라 개선권고를 할 수 있음
ISMS 강화 기준 차등적용
  • 과기정통부장관은 생성·처리하는 정보의 규모와 사회적 파급력으로 인하여 침해사고 발생 시 국민의 생명·신체 또는 재산에 중대한 위험을 초래할 우려가 있는 자로서 대통령령으로 정하는 자에 대하여 ISMS 인증기준 및 절차 등을 강화하여 적용할 수 있음
침해사고 관련
  • 침해사고 조사 개시 여부, 민·관합동조사단 구성의 필요성 등을 심의하기 위한 침해사고조사심의위원회를 설치
  • 침해사고 분석 대상을 침해사고 원인에서 침해사고 발생여부로 확대
  • 정보통신서비스 제공자는 대통령령으로 정하는 침해사고가 발생하면 지체 없이 그 사실을 해당 이용자에게 통지하여야 함. 다만, 다른 법률에 따른 침해사고 통지를 한 경우에는 이 법에 의한 통지를 한 것으로 봄
  • 시정명령 불이행, 자료 제출 거부, 거짓 제출, 조사 방해 등의 경우 대통령령에서 정하는 1일 평균매출액의 1만분의 3의 범위에서 이행강제금 부과
  • 정보통신서비스 제공자의 고의 또는 중과실에 의하여 침해사고가 5년 이내의 기간 동안 2회 이상 발생한 경우 대통령령에서 정하는 연간 매출액의 3% 이하의 과징금 부과
  • 정보통신서비스 제공자 등 정보통신망을 운영하는 자로서 대통령령으로 정하는 자는 과기정통부장관이 보급하는 표준안에 따라 해당 정보통신서비스의 규모 및 특성에 적합한 침해사고 관리·대응 매뉴얼을 작성하여 과학기술정보통신부장관과 한국인터넷진흥원에 제출하여야 함


2) 시사점

  • (정보보호위원회 설치 의무 및 CISO 역할 강화) 일정 기준 이상의 정보통신서비스 제공자에 대하여 정보보호위원회 설치가 의무화되고 정보보호 현황 및 주요사항 이사회 보고가 CISO 업무로 추가됨에 따라 대표자와 이사회 등 경영진의 정보보호에 관한 책임이 강화될 것으로 예상됩니다. 
  • (정보보호수준 평가) 정보보호수준 평가 및 공개로 사업자들의 보안 역량이 상시적으로 지표화되어 사업자들 상호 간 보안 역량의 수준을 비교할 수 있게 될 것으로 보입니다.
  • (ISMS 강화 기준 차등적용) (i) 일정 기준 이상의 정보통신서비스 제공자에 대해서는 인증기준이 별도로 마련될 예정이므로, 향후 하위 법령 입법 동향 등을 주시할 필요가 있습니다. (ii) 과기정통부는 최근 발표한 심사방식 강화방안에서 모의침투 등의 기술심사나 현장실증형 심사 등의 도입을 통해 ISMS 인증 절차 일반을 강화할 예정이라고 밝혔는데, 이러한 정보통신서비스 제공자에 대해서는 그 수준 이상으로 인증 절차가 강화될 수 있습니다. 
  • (침해사고 관련) (i) 기존에는 침해사고가 발생한 사실이 확인되어야 조사가 가능하였으나, 개정안에 따르면 침해사고조사심의위원회가 침해사고 발생 여부에 대해 조사가 필요하다고 인정하는 경우 조사가 가능해지게 됩니다. (ii) 개정안에 의하면 자료 제출 거부나 조사 방해 등이 발생할 시 과태료뿐 아니라 이행강제금까지 부과될 수 있게 됩니다. (iii) 과징금 규정이 신설됨에 따라 침해사고 조사의 목적이 침해사고 원인 분석에서 더 나아가 제재 부과까지 확대될 것으로 보입니다.

 

2. 개인정보 보호법 개정안 관련

1) 개정안 주요 내용

대표자 등의 책임 명확화 및 CPO 역할 강화
  • 사업주 또는 대표자를 개인정보 처리 및 보호에 관한 최종 책임자로 명확히 규정
  • 대통령령으로 정하는 기준에 해당하는 개인정보처리자에 대하여 (i) 개인정보 보호책임자 임면 시 이사회 의결, (ii) 개인정보보호위원회에 대한 CPO 지정에 관한 사항의 신고를 의무화함
개인정보 보호 인증 의무화
  • 매출액, 개인정보의 처리 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자에 대하여 ISMS-P 인증을 의무화
유출 가능성 통지제 도입 및
통지 항목 확대 등
  • 개인정보의 유형, 정보주체에게 미치는 영향과 유출 등의 위험 정도를 고려하여 대통령령으로 정하는 유출 등의 가능성이 있음을 알게 된 때에는 지체 없이 유출 등의 가능성이 있는 모든 정보주체에게 피해 최소화를 위한 정보 등 대통령령으로 정하는 사항의 통지를 의무화
  • 손해배상과 법정손해배상의 청구 및 분쟁조정 등 피해를 입은 정보주체의 법적 권리와 그 행사방법 등에 관한 정보를 통지 항목으로 추가
반복·중대 개인정보 침해
과징금 강화
  • (i) 과징금을 부과받은 자가 3년 이내에 과징금 부과 사유에 해당하는 위반행위를 한 경우(각각 고의 또는 중대한 과실이 있는 경우에 한정), (ii) 고의 또는 중대한 과실로 과징금 부과 사유에 해당하는 위반행위를 하고 정보주체의 피해 규모가 1천만명 이상인 경우, (iii) 시정조치 명령에 따르지 아니하여 개인정보처리자가 처리하는 개인정보가 분실·도난·유출·위조·변조 또는 훼손된 경우에는 직전 3개 사업년도 연평균 매출액(위반행위와 관련 없는 매출액은 제외)의 10%까지 과징금을 부과할 수 있음(정액과징금은 50억 상한)
  • 개인정보보호위원회는 개인정보 보호를 위한 예산·인력·설비·장치 등의 투자 및 운영 등 대통령령으로 정하는 사유가 있는 경우에는 과징금을 감경할 수 있음(고의 또는 중대한 과실이 있는 경우 제외)


2) 시사점

  • (대표자 등의 책임 명확화 및 CPO 역할 강화) 개정안은 개인정보 처리 및 보호에 관한 사업주 및 대표자의 책임을 강화하는 한편, CPO의 실질적 역할과 권한을 보장함으로써 사전 예방 중심의 개인정보 보호 활동을 강화하려는 것으로 보입니다.
  • (개인정보 보호 인증 의무화) 대통령령으로 정하는 기준에 해당하는 개인정보처리자에 대해 ISMS-P 인증을 의무화함으로써 지속적 개인정보보호 관리체계 구축이 확산될 것으로 보입니다. 그리고 인증 의무화 대상 사업자의 경우에는 ISMS-P 인증을 받더라도 과징금 감경 대상에서 제외될 것으로 예상됩니다. 향후 개인정보 보호법 위반에 대한 과징금 부과기준을 정하는 하위 법령의 개정 동향을 지켜볼 필요가 있습니다.
  • (유출 가능성 통지제 도입 및 통지 항목 확대 등) 개정안은 개인정보처리자 관점에서 유출 가능성이 비교적 명확한 경우에는 유출가능성을 통지하도록 함으로써 정보주체가 유출에 대해 사전에 대응할 수 있도록 하려는 것으로 보입니다. 이로 인하여 개인정보처리자의 유출 관련 대응 시점과 관련하여 개인정보보호위원회 조사 등의 일정이 종전보다 앞당겨지게 될 것으로 예상됩니다. 유출 가능성 통지 요건에 관한 세부사항은 대통령령에 규정될 것입니다.
  • (반복·중대 개인정보 침해 과징금 강화) 반복·중대 위반행위에 대해 징벌적 수준의 과징금이 부과되는 등 제재 수위가 크게 강화될 것으로 보입니다. 이에 따라 개인정보 관련 사전 컴플라이언스 점검 등이 보다 중요해질 것으로 보입니다.

 

About Shin & Kim’s ICT Group

법무법인(유) 세종 ICT그룹은 ICT 분야에 차별화된 전문성과 인적 네트워크를 보유하고 있으며, 고객들로부터 최근 수년간 가장 높은 평가를 받고 있습니다. 방송과 통신, 개인정보, 인터넷 IT 분야에서 축적된 역량을 바탕으로 방송·통신·ICT 규제 동향 및 대관, 법제개선·입법컨설팅, 규제영향력 분석과 기업의 전략 수립 등에 대한 종합적인 법률자문을 제공하고 있습니다. 아울러 개인정보/AI Compliance, 침해사고 대응 등과 관련하여서도 다양한 업무경험과 전문성을 보유하고 있으므로, 보다 전문적인 내용이나 궁금하신 사항이 있으면 언제든지 연락 주시기 바랍니다.