뉴스레터

[APT] 정보통신망 이용촉진 및 정보보호 등에 관한 법률 일부개정법률안

2026-04-07
印刷する
정보통신망 이용촉진 및 정보보호 등에 관한 법률 일부개정법률안

국회 본회의는 2026. 3. 12. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률 일부 개정 법률안(대안)」(이하 “개정안”)을 원안 가결하였습니다. 위 개정안은 2026. 3. 31. 공포되었습니다.


1. 개정안의 주요 내용

개정안은 크게 정보통신서비스 제공자의 정보보호 관리체계 구축에 관한 내용, 정부의 정보통신서비스 제공자의 정보보호 관리체계에 대한 감독에 관한 내용, 침해사고 발생 시 사업자 조치에 관한 사항, 침해사고에 관한 제재(이행강제금 및 과징금) 및 피해구제, 영리목적 광고성 정보 전송에 대한 과징금 부과 내용을 담고 있습니다.

가. 정보통신서비스 제공자의 정보보호 관리체계 구축에 관한 내용

개정안은 기존 「정보통신망 이용촉진 및 정보보호 등에 관한 법률 일부 개정 법률」(이하 “정보통신망법”)이 정보통신서비스 제공자에게 과학기술정보통신부 장관의 정보보호지침을 따를 것을 권고하고 있는 것에 더하여, 특정 사업자(법령에서 정하고 있는 주요정보통신서비스 제공자, 집적정보통신시설 사업자, 정보통신서비스 제공자)에게 정보보호 분야 전문 인력과 예산 확보 노력 의무를 이행할 것을 신설하였습니다(제45조 제5항 신설).

또한, 개정안은 정보보호 최고책임자에 원칙적으로 임원만이 지정될 수 있도록 정하였고(제45조의3 제1항 개정 내용 신설), 정보보호 최고책임자가 총괄하는 업무 범위를 확대(정보보호에 필요한 인력 관리 및 예산 편성 등 추가)하였습니다(제45조의3 제4항 마 내지 사목 신설).

한편, 일정 규모 이상의 정보통신서비스 제공자는 정보보호에 관하여 심의하기 위해 정보보호 최고책임자가 위원장이 되는 정보보호위원회를 설치∙운영하여야 합니다(개정안 제45조의4 신설).

나. 정부의 정보통신서비스 제공자의 정보보호 관리체계에 대한 감독에 관한 내용

개정안은 과학기술정보통신부장관이 일정 규모 이상의 정보통신서비스 제공자 등 사업자를 대상으로 정보통신망 안정성 및 정보의 신뢰성 수준을 평가하도록 정하면서, 위 평가에 필요한 자료 제출 요구 등 조치에 관한 근거 규정을 신설하였습니다(제45조의5 신설).

정보보호 관리체계 인증에 관한 내용(기존 정보통신망법 제47조에서 정하고 있는 사항) 역시 강화되었습니다. 인증 받은 정보보호 관리체계는 연 1회 이상 사후관리를 받아야 하는데, 개정안은 위 사후관리의 방법으로 “현장심사”를 하도록 정하였습니다(제47조 제8항 후단 신설). 또한, 정보보호 관리체계 인증과 관련하여서만 인증 취소를 하였던 기존 정보통신망법과 달리,[1] 개정안은 정보보호 관리체계 인증 취소 사유로 ‘정보보호 관련 법령의 중대한 위반’ 사유를 추가하여 정보보호 관리체계 자체와는 무관한 사유로도 인증을 취소할 수 있는 근거를 마련하였습니다(제47조 제10항 제4호 신설).

나아가 개정안은 완화된 정보보호 관리체계 인증 기준 및 절차를 적용 받을 수 있는 특례 규정은 그대로 두되, 생성∙처리하는 정보의 규모와 사회적 파급력으로 인하여 침해사고 발생 시 국민의 생명∙신체 또는 재산에 중대한 위험을 초래할 우려 있는 특정 사업자에 대하여는 오히려 정보보호 관리체계 인증기준 및 절차를 강화하여 적용할 수 있는 근거를 신설하였습니다(제47조의7 제2항 신설).

침해사고 발생 시 대응에 관하여, 개정안은 침해사고 조사의 필요성과 침해사고 원인 분석을 위한 민∙관합동조사단 구성 등을 심의할 수 있는 침해사고조사심의위원회를 한시적으로 신설하였습니다(제48조의2 제7항 신설).

다. 침해사고 발생 시 사업자 조치에 관한 사항

정보통신서비스 제공자는 침해사고 발생 시 그 침해사고 발생사실을 알게 된 때로부터 24시간 이내에 침해사고 발생 일시 및 대응 현황 등 대통령령으로 정하는 사항을 과학기술정보통신부장관이나 한국인터넷진흥원에 신고하여야 하고(개정안 제48조의3 제1항 신설 내용), 대통령령으로 정하는 특정 침해사고에 관하여는 지체 없이 그 사실을 해당 이용자에게 통지할 의무가 있습니다(개정안 제48조의3 제4항 신설).

또한, 개정안은 정보통신서비스 제공자에게 침해사고가 발생한 경우 뿐 아니라, 침해사고가 발생하였다고 의심할 정황이 있는 등 침해사고조사심의위원회가 조사가 필요하다고 인정하는 경우에도 침해사고 발생 여부 및 원인 분석 의무를 부담시키고 있습니다(제48조의4 제1항, 신설 내용).

마찬가지로, 과학기술정보통신부장관은 침해사고가 발생한 경우 뿐 아니라 침해사고조사심의위원회가 침해사고 발생 여부에 대한 조사 필요성을 인정할 경우에도 정보통신서비스 제공자에게 침해사고 발생여부 및 원인 분석하고 필요한 조치를 마련하여 이를 이행하도록 명령할 수 있는데(제48조의4 제2항 신설 내용), 이를 위하여 정보통신서비스 제공자에게 자료 제출을 명령할 수 있습니다(제48조의4 제6항 신설 내용). 나아가 과학기술정보통신부장관은 침해사고조사심의위원회가 중대한 침해사고로 인정하는 경우에는 직접 민∙관합동조사단을 구성하여 그 침해사고의 원인 분석을 할 수 있습니다(제48조의4 제4항 신설 내용).

라. 침해사고에 관한 제재 및 피해구제

(1) 이행강제금 신설
개정안은 정보통신서비스 제공자가 1과학기술정보통신부장관의 시정명령에 따르지 않는 경우(기존 정보통신망법 제48조의4 제3항) 2또는 침해사고 원인 분석 및 필요한 대책을 마련하기 위한 자료제출 명령에 따르지 않거나 거짓으로 따르는 등 조사에 협조하지 않았을 경우, 과학기술정보통신부장관이 이행강제금을 부과할 수 있는 근거 조항을 신설하였습니다(제48조의7 신설).
위 이행강제금은 “이행기한이 지난 날로부터 1일당 대통령령이 정하는 1일 평균매출액의 1만분의 3의 범위”입니다(다만, 매출이 없거나 매출액의 산정이 곤란한 경우에는 이행기한이 지난 날로부터 1일당 200만원의 범위입니다).

(2) 과징금 부과 조항 신설
개정안은 정보통신서비스 제공자의 고의 또는 중과실에 의하여 침해사고가 5년 이내의 기간 동안 2회 이상 발생한 경우, 과학기술정보통신부 장관이 위 정보통신서비스 제공자에게 과징금을 부과할 수 있도록 하는 근거 조항을 신설하였습니다(제48조의8 신설).
과징금의 범위는 “대통령령으로 정하는 매출액에 100분의 3을 곱한 금액을 초과하지 아니하는 범위”입니다. 과징금 산정 시에는 침해사고의 횟수, 정보통신서비스 제공자의 고의∙과실 여부, 침해사고로 인해 정보가 유출∙위조∙변조∙훼손된 경우 위반행위와 관련성 및 유출∙위조∙변조∙훼손의 규모, 피해 회복 및 피해 확산 방지 조치 이행 여부, 침해사고가 이용자에게 미치는 영향 및 이용자의 피해 규모, 침해사고 예방 및 신속한 대응을 위한 노력 등을 고려해야 합니다.
다만, 위 과징금은 「개인정보보호법」 제64조의2 제1항 제9호[2]에 해당하는 경우에는 적용하지 않습니다.

(3) 피해구제
정보통신서비스 제공자 등은 침해사고 발생 시 이용자 피해 확산 방지와 신속한 피해구제를 위하여 필요한 조치를 하여야 하고(제48조의10 제1항 신설), 위 조치에 관한 내용과 결과 등 사항을 과학기술정보통신부장관에게 제출하여야 합니다(제48조의10 제2항).
한편, 과학기술정보통신부장관은 침해사고에 관한 이용자 보호기준 등 필요한 사항을 정하여 고시할 수 있습니다(제48조의10 제3항).

(4) 기타
이 밖에도 개정안은 침해사고 관리·대응 매뉴얼 (제48조의9 신설) 내용을 추가 신설하고 있습니다.

마. 영리목적 광고성 전송에 대한 과징금

개정안은 영리목적 광고성 정보 전송에 관한 정보통신망법(제50조, 제50조의4, 제50조의5, 제50조의7 또는 제50조의8)을 위반한 자에게 방송미디어통신위원회가 과징금을 부과할 수 있도록 하는 근거 조항을 신설하였습니다(제50조의9 신설).
해당 과징금의 범위는 “매출액에 100분의6을 곱한 금액을 초과하지 아니하는 범위”입니다(다만, 매출액이 없거나 매출액 산정이 곤란한 경우에는 20억 이하의 범위입니다).


2. 시사점

(1) 침해사고 조사 범위의 확대
개정안에서 주목할 점은 침해사고 발생이 의심되는 정황이 있더라도 발생여부에 관하여 정보통신서비스 제공자가 조사하거나 정부가 직접 조사할 수 있는 근거 조항이 마련되었다는 것입니다.

이때 침해사고 발생 여부에 대한 조사 필요성을 심의하여 결정하는 기관은 침해사고조사심의위원회입니다. 비록 침해사고조사심의위원회는 한시적으로 운영되는 기관이지만(2030년 12월 3일까지 존속) 침해사고 조사에 있어서 적지 않은 영향력을 행사할 것으로 보입니다.
사업자 입장에서, 비록 사업자가 침해사고 발생 자체를 부인하더라도, 침해사고조사심의위원회가 조사 필요성을 인정하면 과학기술정보통신부장관이 사업자에게 자료 제출을 명하고 소속 공무원의 사업장 출입을 통한 조사를 할 수 있으며, 이를 따르지 않는 경우 1일 매출액 기준의 강력한 이해강제금을 부과할 수 있다는 점을 유의할 필요가 있습니다.

(2) 침해사고의 반복적 발생에 대한 과징금에 관하여
개정안은 “침해사고의 반복적 발생”에 대하여 과징금을 부과하도록 하고 있습니다. 과징금 부과의 요건은 1정보통신서비스 제공자의 고의 또는 중과실에 의하여 25년 이내 기간 동안 2회 이상의 침해사고 발생입니다.
그러므로 정보통신서비스 제공자에게 경과실이 있거나, 5년 이내에 1회 침해사고가 발생한 경우 개정안이 신설한 과징금은 적용되지 않습니다.

다만, 정보통신서비스 제공자의 고의 또는 중과실에 의하여 발생한 침해사고의 대상이 어떠한 것인지 해석상 논란이 있을 수 있습니다. 즉, 5년 이내 기간 동안 발생한 2회 이상 침해사고가 모두 “정보통신서비스 제공자의 고의 또는 중과실”에 해당하여야 하는 것인지, 1회의 침해사고는 경과실에 의한 것이었으나 2회 때에는 고의 또는 중과실에 의한 것이어도 적용되는 것인지 해석상 분명하지 않습니다. 또한 어떠한 행위가 정보통신서비스 제공자의 ‘중과실’에 포섭되는지도 실무상 문제될 것으로 예상됩니다.

한편, 개정안의 과징금은 「개인정보보호법」 제64조의2 제1항 제9호에 해당하는 경우에는 부과되지 않습니다. 즉, 1개인정보처리자가 처리하는 개인정보가 분실·도난·유출·위조·변조·훼손된 경우로서 2개인정보가 분실·도난·유출·위조·변조·훼손되지 아니하도록 개인정보처리자가 「개인정보보호법」 제29조(제26조제8항에 따라 준용되는 경우를 포함)에 따른 안전성 확보에 필요한 조치를 다하지 않은 경우에는 개정안의 과징금이 부과되지 않고 「개인정보보호법」의 과징금이 부과됩니다.

이는 개정안과 「개인정보보호법」 사이의 체계 정합성을 고려한 것입니다. 즉, 개인정보가 유출된 경우 「개인정보보호법」 과징금과 중복되지 않도록 하기 위한 것으로 이해됩니다.[3]

다만, 개정안에 의하더라도 ①개인정보처리자가 처리하는 개인정보가 분실·도난·유출·위조·변조·훼손된 경우이지만 ②개인정보가 분실·도난·유출·위조·변조·훼손되지 아니하도록 개인정보처리자가 「개인정보보호법」 제29조(제26조제8항에 따라 준용되는 경우를 포함)에 따른 안전성 확보에 필요한 조치를 다한 경우에는 다시 개정안의 과징금 부과로 돌아오게 된다는 반대해석이 가능합니다. 즉 정보통신서비스 제공자가 「개인정보보호법」 제29조 안전성 조치를 다하였다면, 「개인정보보호법」 제64조의2 제1항 제9호에 해당하지 않기 때문에 개정안의 과징금 부과가 가능합니다.

즉, 5년 이내의 기간 동안 2회 침해사고 발생 시, 개정안과 「개인정보보호법」의 각 과징금 부과 체계는 다음과 같이 이해됩니다.

① 두번째 침해사고로 분실·도난·유출·위조·변조·훼손이 발생하고 정보통신서비스 제공자가 「개인정보보호법」 제29조 안전성 조치를 하지 않은 경우: 「개인정보보호법」의 과징금 부과

② 두번째 침해사고로 분실·도난·유출·위조·변조·훼손이 발생하고 정보통신서비스 제공자가 「개인정보보호법」 제29조 안전성 조치를 한 경우: 개정안의 과징금 부과

③ 두번째 침해사고에 개인정보 유출 등이 수반되지 않은 경우: 개정안의 과징금 부과

다만, 「개인정보보호법」 제29조 안전성 조치를 하였으면서도 과연 “정보통신서비스 제공자의 고의 또는 중과실”에 해당하는 경우가 인정될지 문제될 수 있습니다.

정보통신망법이 정의하는 침해사고란 “해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스거부 또는 고출력 전자기파 등의 방법” 또는 “정보통신망의 정상적인 보호·인증 절차를 우회하여 정보통신망에 접근할 수 있도록 하는 프로그램이나 기술적 장치 등을 정보통신망 또는 이와 관련된 정보시스템에 설치하는 방법”으로 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위로 인하여 발생한 사태를 의미합니다(정보통신망법 제2조 제1항 제7호). 그런데 「개인정보보호법」 제29조 안전성 조치를 하였음에도 위 침해사고가 일어난 경우에는 기술적으로 정보통신서비스 제공자의 능력 범위를 벗어난 것이므로 과연 정보통신서비스 제공자에게 귀책을 물을 수 있는지 의문이 있을 수 있습니다.

그렇다면 「개인정보보호법」 제29조 안전성 조치를 하였기에 “정보통신서비스 제공자의 경과실”만이 인정되거나 아예 정보통신서비스 제공자의 귀책을 논할 수 없다면 개정안의 과징금은 부과될 여지가 없고, 안전성 조치를 하지 않은 점이 “정보통신서비스 제공자의 고의 또는 중과실”의 근거가 된다면 해당 사업자는 「개인정보보호법」의 과징금 규정을 적용받으므로 역시 개정안의 과징금이 적용될 여지가 없습니다. 즉, 어떠한 경우라도 개정안의 과징금이 적용될 여지가 없습니다.

따라서 향후 침해사고로 인한 개인정보 침해 사안에 관한 과징금 부과에 있어서 “정보통신서비스 제공자의 고의 또는 중과실”이 무엇인지가 중요한 법적 쟁점이 될 것으로 전망됩니다.



“ 본 뉴스레터에 대해 더 자세히 알고 싶으시거나 기타 문의사항이 있으신 경우, 전응준 변호사(ejjeon@law-lin.com)에게 문의하여 주시기 바랍니다”
[1] 부정한 방법으로 정보보호 관리체계 인증을 받은 경우, 정보보호 관리체계가 인증기준에 미달하게 된 경우, 정보보호 관리체계에 관한 사후관리를 거부하거나 방해한 경우
[2] 개인정보처리자가 처리하는 개인정보가 분실·도난·유출·위조·변조·훼손된 경우. 다만, 개인정보가 분실·도난·유출·위조·변조·훼손되지 아니하도록 개인정보처리자가 제29조(제26조제8항에 따라 준용되는 경우를 포함한다)에 따른 안전성 확보에 필요한 조치를 다한 경우에는 그러하지 아니하다.

[3] 법제사법위원회 체계자구 검토보고서 III. 관계 기관 의견
関連資料
260330-LIN.개인정보.Newsletter_v0.2.pdf
関連メンバー
一覧
前の記事
[AID VOL.16] 자율주행차와 AI, 기타 점검 사항
2026-04-15
次の記事
[금융부문] 은행대리업 제도의 도입 논의와 전망
2026-03-27