[권기원 칼럼] 반복되는 해킹 사태, 법이 바뀐다… 정보통신망법 개정안 핵심 정리

 

사건의 배경

 

2025년 한 해 동안 이동통신사와 금융권을 중심으로 대규모 개인정보 유출과 해킹 사고가 반복되면서, 정보보호 체계를 근본적으로 개정해야 한다는 요구가 빠르게 커졌다. 단순히 사고가 발생한 뒤 수습하는 방식으로는 이용자 불안을 줄이기 어렵고, 기업의 보안 책임도 형식적으로만 작동한다는 비판이 계속됐다. 이런 흐름 속에서 정부는 사이버 침해사고 대응 체계를 전면 개편하는 방향으로 정보통신망법 개정을 추진했고, 3월 12일 국회 본회의 통과 이후 24일 국무회의에서 개정안이 의결됐다.

이번 개정안은 침해사고의 예방부터 탐지, 대응, 사후 통제까지 전 과정을 다시 설계하려는 성격이 강하다. 여야 의원들이 발의한 20여 개 법안을 통합해 만든 만큼 구조적 개편에 가깝다. 특히 CISO 제도 정비, 정보보호 수준 평가, ISMS 인증 강화, 침해사고 24시간 신고 의무, 반복 사고 과징금 강화까지 다루게 된다.

 

개인정보 침해 쟁점

 

이번 개정안이 중요한 이유는 개인정보 유출을 구조적 관리 실패로 보기 시작했다는 점이다. 그동안 대규모 유출 사고가 반복될 때마다 기업은 해킹을 당했다고 보고했지만, 실제로는 권한 통제 미흡, 예산 부족, 책임 부재, 늦은 탐지와 보고처럼 내부 통제 실패가 반복되는 경우가 많았다. 이번 개정은 바로 이 지점을 다루고 있다. 

특히 개인정보 보호를 공부하는 입장에서는 이번 개정이 거버넌스의 중요성을 다룬다는 것을 느낄 수 있었다. CISO를 임원급으로 두고, 이사회 보고와 예산 편성 책임까지 명시한 것은 보안을 기술팀 하위 업무가 아니라 경영 책임으로 끌어올린 조치다. 결국 개인정보 유출은 더 이상 IT 부서 실수로만 설명될 수 없고, 경영진이 통제했어야 할 리스크로 보기 시작한 셈이다.

또 침해사고 인지 후 24시간 내 신고, 일정 사고 발생 시 지체 없는 이용자 통지 의무도 눈에 띈다. 개인정보 유출에서 가장 반복적으로 지적되던 문제 중 하나가 공지 및 대응 지연이었다는 점을 떠올리면, 이번 개정은 사고 자체만큼이나 사고 인지 후 대응 속도를 법적 책임으로 묶으려는 시도로 읽힌다.

 

관련 규범을 찾아보며

 

이번 개정안의 핵심은 정보보호 책임 구조를 실질적으로 다시 설계했다는 점이다. 우선 주요 정보통신서비스 제공자와 집적정보통신시설 사업자는 정보보호 전문 인력과 충분한 예산을 확보하도록 노력해야 하고, 정보통신서비스 제공자는 임원을 CISO로 지정해야 한다. 단순 지정만으로 끝나는 것이 아니라, CISO의 업무에 정보보호 인력 관리, 예산 편성, 이사회 보고가 명시됐다는 점이 중요하다. 일정 규모 이상 사업자에게는 CISO를 위원장으로 하는 정보보호위원회 설치도 요구된다.

이 부분을 보면서 가장 먼저 든 생각은, CISO 제도가 이제 상징적 직함이 아니라 실제 거버넌스 축으로 설계되기 시작했다는 점이었다. 그동안 국내 기업에서 CISO는 형식적으로 존재하지만 실질 권한이 부족한 경우가 많았고, 사고가 나면 책임만 지는 자리처럼 보이기도 했다. 그런데 이번 개정은 적어도 법 구조상으로는 CISO를 예산과 의사결정, 이사회 보고까지 연결되는 실질 책임자로 재배치하고 있다.

또 정보보호 수준 평가 제도도 흥미롭다. 일정 기준 이상 사업자는 매년 정보보호 수준 평가를 받아야 하고, 과기정통부 장관은 그 결과를 공개하거나 개선을 권고할 수 있다. 이 제도는 단순 인증 여부가 아니라, 정보보호 수준 자체를 외부에서 비교 가능한 관리 지표로 만들겠다는 의미로 읽힌다.

ISMS 인증 제도 강화도 같은 맥락이다. 사회적 영향이 큰 사업자에게는 더 엄격한 인증 기준을 적용할 수 있고, 심각한 법 위반 시 인증 취소도 가능해졌다. 그동안 ISMS가 인증을 받았음에도 불구하고 사고가 나는 형식적 제도로 비판받던 점을 생각하면, 이번 개정은 인증을 유지형 통제로 바꾸려는 시도로 보인다.

 

제도적 의미

 

이번 개정안의 가장 큰 제도적 의미는 보안의 무게중심을 ‘사후 대응’에서 ‘사전 예방’으로 옮겼다는 점이라고 생각한다. 기존 제도는 사고가 나면 원인을 분석하고 시정명령을 내리는 방식에 가까웠다. 하지만 이번 개정은 침해사고가 의심되는 정황만 있어도 조사 범위를 넓히고, 조사심의위원회를 통해 민관합동조사단 구성 여부까지 심의할 수 있도록 했다. 사고가 터진 뒤 수습하는 구조가 아니라, 사고 가능성이 보이는 단계부터 개입하겠다는 의미다.

또 반복 사고에 대한 과징금 구조도 인상적이었다. 고의 또는 중대한 과실로 5년 내 침해사고가 2회 이상 반복되면 매출액 3% 이내 과징금이 가능해졌다. 개인정보 유출을 일회성 사고가 아니라 관리 실패의 누적으로 보기 시작했다는 점에서 의미가 크다.

불법 스팸 규제 강화도 함께 언급이 되었는데, 불법 광고와 스팸 역시 개인정보 오남용과 밀접하게 연결되기 때문이다. 정보통신망법이 정보 유통과 오남용 전반을 함께 관리하는 방향으로 재정비되고 있다는 점이 드러난다.

 

내가 배운 점

 

이번 개정안을 보면서 가장 크게 느낀 것은, 개인정보 유출은 더 이상 해킹을 당했다는 것으로 설명할 수 없는 문제가 됐다는 점이다. 사고는 기술적으로 발생할 수 있지만, 그 사고가 대규모 피해로 이어지는 과정에는 거의 항상 관리 부실과 책임 부재가 함께 있었다. 이번 개정은 바로 그 지점을 제도적으로 드러내고 있다는 점에서 인상적이었다.

또 하나는 정보보호가 경영 문제로 올라오고 있다는 점이다. CISO의 이사회 보고, 예산 책임, 수준 평가 공개 같은 장치는 결국 보안이 기업 운영의 핵심 리스크라는 전제를 깔고 있다. 공부하는 입장에서도 이제 개인정보 보호는 법 조문만 보는 게 아니라, 조직이 그 책임을 어떻게 배분하고 실행하는지까지 같이 봐야 한다는 생각이 더 강해졌다.

 

정리하며

 

이번 정보통신망법 개정안은 반복되는 해킹 사고와 개인정보 유출을 계기로 국내 정보보호 체계를 사고 대응 중심에서 예방 중심으로 재설계하려는 시도라고 볼 수 있다. CISO 책임 강화, 정보보호 수준 평가, ISMS 인증 실효성 제고, 침해사고 24시간 신고, 반복 사고 과징금 강화 등을 통해 보안을 경영과 거버넌스의 문제로 끌어올렸다.

개인적으로는 이번 개정이 기업이 정보보호를 어떻게 운영해야 하는지에 대한 기준을 훨씬 구체적으로 제시했다는 점에서 의미 있게 느껴졌다. 공부하는 입장에서도 이번 개정은 개인정보 보호가 점점 더 기술 규제가 아니라 조직 책임과 통제 구조의 문제로 이동하고 있다는 점을 분명하게 보여주는 사례였다.

 

참고 자료

• 과학기술정보통신부, 「정보통신망법 개정안 국무회의 의결」, 2026-03-24.
• 권기원, 「반복되는 해킹 사태, 법이 바뀐다… 정보통신망법 개정안 핵심 정리」, 2026.

 

원문 기사

 

https://www.ajunews.com/view/20260423144452417

[권기원 칼럼] 반복되는 해킹 사태, 법이 바뀐다… 정보통신망법 개정안 핵심 정리 | 아주경제