침해사고 자료 제출 거부하면 과태료 부과한다

[아이뉴스24 김혜경 기자] 그동안 정부는 중대한 사이버 침해사고가 발생했을 때만 기업에 자료 제출을 요구할 수 있었지만 관련법 개정으로 일반 사고에 대해서도 정보 수집이 가능해졌다. 동의 기반 조사 방식에서 벗어나 자료 제출을 의무화해 피해 확산을 막겠다는 취지다.

26일 한국인터넷진흥원(KISA)에 따르면 지난해 12월 정보통신망법이 개정‧시행됐다. 침해사고 발생 기업이 수행해야 하는 조치 요건을 구체화하고, 자료제출 요구 권한을 명문화한 내용이 골자다.

일반적으로 침해사고가 발생하면 ▲사고 인지 ▲사고 검토 ▲사고 분석 ▲후속 조치 순으로 진행된다. 사고 인지 단계에서는 단순 신고의무를 고지하는 형태를 벗어나 원인 분석과 피해확산 방지 조치 의무, 자료보전 등을 명문화했다.

침해사고의 중대성 여부는 '민관합동조사단 구성‧운영에 관한 훈령'에 따라 구분된다. ▲주요정보통신기반기설에서 침해사고가 발생한 경우 ▲정보보호 관리체계 인증 의무 대상에 침해사고가 발생한 경우 ▲원인을 알 수 없는 해킹에 의한 다발적 피해발생이 우려되는 경우 ▲과학기술정보통신부 장관이 필요하다고 판단되는 경우다.

개정 전에는 중대 사고에 한해서만 자료보전과 자료제출 요구가 가능했다. 일반 사고의 경우 전적으로 기업 동의에 의존할 수밖에 없었던 셈이다.

자료 제출을 거부하거나 허위 내용 제출에 대한 과태료 부과기준도 신설했다. 망법 제76조 제11의3을 신설해 위반횟수별 과태료 금액을 차등화했다. 1회 위반했을 시에는 300만원, 2회와 3회는 각각 600만원, 1천만원을 부과한다

박용규 침해사고분석단장은 "개정 전에는 기업이 동의하지 않을 시 기업이 자체적으로 실시하는 조치의 적절성을 확인할 수 없었다"며 "자료보전과 제출을 요구하는 이유는 중소기업의 경우 침해사고 발생 시 대처할 여력이 없으므로 민관이 협업해 대응하자는 의미"라고 말했다.

이어 "분석동의를 거부할 경우 기업이 자체적으로 사고 분석을 실시하는 경우도 있지만 시스템 포맷 등을 통해 무마하는 경우도 많았다"고 덧붙였다. .