© 뉴스1 김초희 디자이너
정부가 기업의 해킹 사고 대응 체계를 사고 뒤 신고·수습 중심에서 사고 전 대비 체계를 점검하는 방식으로 손본다. 주요 온라인·통신 서비스 사업자가 침해사고 대응 매뉴얼을 제대로 만들고 운용하는지도 정부 점검 대상이 된다.
13일 관계부처에 따르면 과학기술정보통신부는 지난 9일 '정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령' 일부개정령안을 입법예고했다. 의견 제출 기한은 다음 달 18일까지다.
이번 시행령안은 앞서 개정된 정보통신망법의 후속 조치다. 법률이 침해사고 예방과 사고 발생 시 신속 대응, 피해자 구제를 위한 큰 틀을 마련했다면, 시행령안은 기업이 현장에서 갖춰야 할 조직과 절차, 통지 기준을 구체화하는 내용이다.
보안책임자, 외주·클라우드까지 점검
개정안은 정보보호 최고책임자(CISO)를 지정해 정부에 신고해야 하는 주요 정보통신서비스 사업자를 보안 인력과 예산 확보 노력 의무 대상으로 정했다. 일정 기준에 해당하는 사업자가 보안 조직과 예산을 갖추도록 요구하는 취지다.
CISO 역할도 커진다. 새 정보시스템이나 서비스를 도입·변경할 때 보안에 문제가 없는지 검토하고 승인하는 업무가 추가된다. 클라우드 서비스를 쓰거나 외부 업체에 정보시스템 구축·운영·관리 등을 맡긴 경우에도 해당 업체의 보안 수준을 정기적으로 점검·감독해야 한다.
이는 기업 서비스가 여러 외부 시스템과 연결되는 현실을 반영한 조치다. 외주 개발, 클라우드, 응용프로그램 인터페이스(API) 연동이 늘면서 한 곳의 보안 관리 부실이 서비스 장애나 이용자 피해로 이어질 수 있어서다.
침해사고 대응 매뉴얼도 정부 점검 대상이 된다. 개정안은 매뉴얼을 작성해 제출해야 하는 사업자 범위를 정하고, 과기정통부가 매뉴얼 작성·운용 실태를 점검할 수 있도록 했다. 매뉴얼을 문서로 갖추는 데 그치지 않고 실제로 작동하는지 보겠다는 뜻이다.
보안 문제, CEO·이사회 보고 체계로
기업 내부 의사결정 구조도 바뀐다. CISO를 신고해야 하는 주요 사업자는 정보보호위원회를 둬야 한다. 위원회에는 정보보호, 개인정보 처리, 전산 운영·개발, 준법·법무, 재무, 인사 업무 관련 부서장이 참여한다.
위원회는 보안 인력과 예산, 보안 계획, 위험 평가, 교육과 모의훈련 계획 등을 심의한다. 심의 결과는 최고경영자(CEO)에게 보고해야 한다. 회사에 중대한 영향을 줄 수 있는 보안 사안은 이사회에도 보고해야 한다.
보안 문제가 기술 부서의 사후 대응 업무를 넘어 경영진이 확인해야 할 위험 관리 사안으로 올라가는 셈이다. 대규모 개인정보 유출이나 서비스 장애가 기업 신뢰와 이용자 피해로 이어지는 만큼 보안 투자와 대응 체계를 경영 의사결정 안에 넣으려는 취지로 볼 수 있다.
정보보호수준 평가도 구체화된다. 정보보호 현황을 공시해야 하는 사업자를 대상으로 보안 의사결정 체계와 사고 복구 체계 등을 평가하고, 결과를 매년 2월 말까지 공개하도록 했다.
침해사고로 서비스 중단 2시간 넘으면 이용자에 통지
침해사고가 발생했을 때 이용자에게 알리는 기준도 마련된다. 정보통신서비스 장애나 중단이 2시간 이상 이어진 경우, 또는 이용자에게 영향을 주는 정보가 유출·변조·훼손됐거나 그 가능성이 있는 경우 사업자는 해당 사실을 안 때부터 72시간 이내 이용자에게 알려야 한다.
다만 이 조항이 개인정보 유출 통지를 새로 정하는 것은 아니다. 이름, 휴대전화번호, 이메일, 계정정보처럼 개인을 알아볼 수 있는 정보가 유출된 경우에는 개인정보보호법에 따른 별도 통지·신고 규정이 적용된다.
이번 시행령안의 통지 조항은 개인정보 유출 통지와 별개로, 해킹 때문에 서비스가 멈췄거나 이용자 피해 가능성이 있을 때 사업자가 사고 사실과 대응 현황을 알리도록 한 것이다.
통지 내용에는 사고 발생 시점과 원인, 피해 내용, 대응 현황, 이용자가 피해를 줄이기 위해 할 수 있는 방법, 피해구제 절차, 담당 부서 연락처 등이 포함된다. 정확한 원인을 아직 모르는 경우에는 확인된 내용부터 먼저 알리고, 추가로 파악한 내용은 다시 알려야 한다.
이번 시행령안이 확정되면 기업의 사이버 침해사고 대응은 사고 뒤 신고·수습을 넘어 사고 전 보안 조직, 예산, 매뉴얼, 외주 관리, 이용자 통지 체계를 갖췄는지를 확인하는 방식으로 바뀔 전망이다.
kxmxs4104@news1.kr









