최근 잇따른 침해사고로 침해사고 관련 법제 전반의 변화가 필요하다는 목소리가 커지고 있습니다. 이에 최근 CISO 책임강화, 정보보호위원회 설치·운영, ISMS 인증 강화, 반복적 침해사고에 대한 과징금 부과 등을 골자로 하는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 “정보통신망법”) 개정안이 국회를 통과하여 시행을 앞두고 있습니다*.

* 자세한 내용은 2026. 3. 19.자 저희 법인 뉴스레터를 참고 부탁 드립니다(링크)

이에 더해 침해사고에 있어 사업자의 책임을 보다 더 강화하는 한편 화이트해커를 양성할 수 있는 제도적 기반을 마련하기 위한 다수의 정보통신망법 개정안들이 과학기술정보방송통신위원회에 계류 중인데, 그 중 일부는 제3차 정보통신방송미디어법안심사소위원회(2026년 4월 21일)에 회부되어 심사 중에 있습니다.

아래에서는 위 소위원회에 회부된 정보통신망법 개정안들 중 이해민 의원안을 중심으로, 그 주요 내용 및 시사점에 대해 살펴보도록 하겠습니다.

 

1. 개정안 주요 내용

▶ 이해민 의원안

이해민 의원안(의안번호 2215361, 2025. 12. 18. 발의)은 침해사고에 대한 실효성 있는 대응체계 마련이 시급한 상황이라는 문제의식 하에서, (i) 사업자에게 귀책사유가 있는 침해사고의 경우 사업자가 민ㆍ관합동조사단(이하 “조사단”) 운영 비용 전액을 부담하도록 하고, (ii) 손해배상 청구 시 고의 또는 과실 없음을 사업자가 입증하도록 하며, (iii) 징벌적 손해배상 제도를 도입하는 것을 그 주요 내용으로 삼고 있습니다.

1) 조사단 운영 비용 부담(제48조의4 제9항)

현행법은 과학기술정보통신부장관(이하 “과기정통부장관”)이 중대한 침해사고 발생 시 조사단을 구성하도록 하고 있으나, 조사단 운영비용 전액을 국가가 부담하는 구조로 되어 있습니다. 개정안은 조사단의 조사 결과 정보통신서비스 제공자에게 귀책사유가 있어 침해사고가 발생한 것으로 인정되는 경우, 해당 정보통신서비스 제공자에게 조사단 운영에 소요된 비용 전액을 부담하도록 할 수 있게 하여 사업자의 귀책으로 침해사고 발생 시 사업자의 부담이 가중될 것으로 전망됩니다.

2) 고의 또는 과실 없음을 사업자가 입증하도록 함(제48조의7 제1항)

개정안은 제48조의7을 신설하여, 정보통신서비스 제공자가 정보통신망법을 위반하여 침해사고가 발생함으로써 이용자가 손해를 입은 경우 해당 정보통신서비스 제공자에게 손해배상을 청구할 수 있도록 하고, 이 경우 정보통신서비스 제공자는 자신에게 고의 또는 과실이 없음을 입증하지 아니하면 그 책임을 면할 수 없도록 하였습니다. 개정안이 통과될 경우 이용자는 손해가 발생하였다는 사실만 입증을 하면 되고 나머지 사항(인과관계, 사업자의 고의∙과실)은 입증할 필요가 없게 되므로, 침해사고 발생에 따른 이용자의 손해배상청구가 늘어날 것으로 전망됩니다.

3) 징벌적 손해배상(제48조의7 제2항, 제3항)

현행법상 침해사고에 대한 손해배상액은 실손해 범위에 한정되어 있었는데, 개정안은 징벌적 손해배상을 도입하여 사업자의 고의 또는 중대한 과실로 인하여 침해사고가 발생한 경우 손해액의 3배를 초과하지 않는 범위에서 법원이 손해배상액을 정할 수 있도록 하였습니다. 개정안은 법원이 피해 규모, 침해사고 기간∙횟수, 사업자의 재산상태 등을 고려하여 징벌적 손해배상 범위를 정할 수 있도록 하고 있으므로, 개정안이 통과될 경우 매출액이 큰 사업자나 반복∙중대 침해사고가 발생한 사업자의 경우 손해배상액이 높아질 것으로 전망됩니다.

▶ 그 외 개정안 주요 내용

이해민 의원안 이외에도 위 소위원회에 상정된 다른 정보통신망법 개정안들에서도 침해사고와 관련한 내용을 다수 포함하고 있는데, 각 개정안의 주요 내용은 다음과 같습니다.

  • (정보통신망연결기기에 대한 실태 점검) 정보통신망연결기기등과 관련된 침해사고 예방을 위해 과기정통부장관이 침해사고의 발생의 위험이 높은 정보통신망연결기기등에 대한 정보보호 실태를 점검할 수 있도록 하고, 점검 결과를 공표할 수 있도록 하며, 점검 결과에 따라 정보통신망연결기기등을 제조하거나 수입하는 자에 대한 개선 권고 등을 할 수 있도록 함 (최민희 의원안, 의안번호 2215299, 2025. 12. 16. 발의)
  • (클라우드 관리 강화) 클라우드 서버 도입, 외부 협력업체 활용 등 복잡해진 IT 공급망을 효과적으로 관리하기 위하여 정보통신서비스 제공자가 준수하여야 하는 정보보호지침의 항목에 원격 접속자 및 수탁 사업자의 계정 관리, 내부자 이상 행위 탐지, 클라우드 및 공급망 보안 조치 등을 구체적으로 명시하고, 사고 발생 시 정보보호 감사 자료의 보관을 의무화함. 나아가 이용자 정보의 안전성과 신뢰성 확보를 현저히 해치는 사건ㆍ사고 등이 발생하였거나 발생 가능성이 있는 경우 과기정통부장관이 감사 및 개선 관련 자료의 제출을 요구할 수 있도록 함 (최형두 의원안, 의안번호 2216230, 2026. 1. 22. 발의)
  • (화이트해커 육성) 침해사고 예방을 위한 화이트해커 등 민간 보안 전문가의 보안 활동을 양성화하기 위해, 정보통신서비스 제공자 등이 정보보호 취약점 처리방침을 수립ㆍ공개할 수 있도록 하고, 해당 방침을 준수하여 활동하는 정보보호연구자에 대한 면책 근거를 마련하며, 중대한 취약점에 대해 정부 신고 및 이용자 통지를 의무화하도록 함 (최형두 의원안, 의안번호 2216276, 2026. 1. 23. 발의)

 

2. 시사점

  • (입법 동향 모니터링 필요) 최근 정보통신망법 뿐만 아니라 개인정보 보호법도 반복ㆍ중대 위반행위에 대해 징벌적 수준의 과징금이 부과되는 등 침해사고에 있어 사업자의 책임이 강화되는 방향으로 개정된 바 있습니다. 이와 같은 관련 법 개정 동향에 비추어 보았을 때 위 개정안들의 내용이 상당 부분 반영되어 정보통신망법 개정이 이루어질 가능성이 상당하다고 보이며, 따라서 지속적으로 이러한 법 개정 동향을 면밀히 지켜볼 필요가 있을 것입니다.
  • (컴플라이언스 점검 필요) 시행을 앞두고 있는 정보통신망법 개정 내용을 포함하여 침해사고와 관련하여 사업자의 책임을 가중하는 방향으로 관련 법제도가 변화하고 있습니다. 이에 침해사고와 관련한 전반적인 규제 준수 여부를 점검할 필요가 있으며, 이를 위해 규제 준수 체크리스트 마련, 사내 규정 및 매뉴얼 정비, 조직 진단 등 전반적인 사전 컴플라이언스 점검을 고려해 볼 필요가 있습니다.

 

About Shin & Kim’s ICT Group

법무법인(유) 세종 ICT그룹은 ICT 분야의 독보적인 전문성과 인적 네트워크를 보유하고 있으며, 고객들로부터 최근 수년간 가장 높은 평가를 받고 있습니다. 방송과 통신, 개인정보, 인터넷 IT 분야에서 축적된 역량을 바탕으로 방송·통신·ICT 규제 동향 파악 및 대관, 법제개선·입법컨설팅, 규제영향력 분석과 기업의 전략 수립 등에 대한 종합적인 법률자문을 제공하고 있습니다. AI Compliance, 침해사고 대응 등과 관련하여서도 다양한 업무경험과 전문성을 보유하고 있으므로, 보다 전문적인 내용이나 궁금하신 사항이 있으면 언제든지 연락 주시기 바랍니다.