해킹 당한 IT기업에 재발방지 조치 의무화한다

앞으로 해킹 등 사이버 침해사고를 당한 정보통신(IT) 기업은 정부에 신속하게 신고하고 의무적으로 재발방지 조치를 취해야 한다. 과학기술정보통신부는 이 같은 내용으로 개정한 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)’을 14일 시행한다고 13일 밝혔다. 과기정통부는 현행 법으로는 사이버 침해사고가 발생해도 IT 서비스 제공자가 언제까지 신고해야 하는지 명확한 기준이 없고 재발방지 조치도 권고 수준에 그쳐 제대로 된 사고 대응에 한계가 있다고 봤다. 이에 법 개정을 통해 신고 제도를 정비하고 기업의 재발방지 조치에 대한 정부의 이행명령 근거와 이행 여부에 대한 점검방법 등을 새로 규정했다. 구체적으로 IT 서비스 제공자는 침해사고를 인지한 후 24시간 내 피해 내용, 원인, 대응현황 등을 당국에 우선 신고해야 한다. 이후 추가로 확인된 내용도 확인 시점으로부터 24간 내 보완 신고해야 한다. 정부는 침해사고가 발생한 IT 서비스 제공자에게 재발방지 조치 이행을 현행 권고를 넘어 명령할 수 있다. IT 서비스 제공자가 해당 명령을 이행했는지 여부를 점검해 보완이 필요한 사항을 시정 명령하고 이것이 제대로 이행되지 않을 경우 3000만 원 이하의 과태료를 부과할 수 있다. 류제명 과기정통부 네트워크정책실장은 “침해사고로 인한 피해확산과 재발을 최소화하기 위해서는 신속한 신고를 바탕으로 한 원인분석 및 조치가 무엇보다 중요하다”며 “침해사고 신고⋅후속조치 체계가 제대로 정착되어 기업들이 다양한 정보보호 기술지원을 받을 수 있도록 노력하겠다”고 말했다.