기사 핵심 요약
정보통신망법 시행령 개정안에 담긴 침해사고 이용자 통지 기준과 14일 이내 피해구제 결과 제출, 강화된 ISMS 심사 대상과 이행강제금을 살펴본다.
- 해킹 등 침해사고로 온라인 서비스가 2시간 이상 중단되면 사업자가 이용자에게 사고 사실을 알리도록 하는 시행령 개정안이 입법예고됐다.
- 주요 정보통신서비스·데이터센터 사업자와 대형 일반 정보통신서비스 기업은 강화된 ISMS 심사를 받게 될 전망이다.
- 정부의 시정·재발 방지 명령을 이행하지 않으면 하루 평균 매출액의 0.02%를 기준으로 이행강제금이 부과될 수 있다.

온라인 서비스 2시간 중단 시 이용자에게 침해사고 사실을 알리도록 하는 정보통신망법 시행령 개정안이 입법예고됐다.
해킹이나 악성코드 감염 등 침해사고로 서비스 장애·중단이 2시간 이상 계속되면 사업자는 이용자에게 사고 사실과 관련 내용을 통지해야 한다. 개인정보가 아니더라도 이용자가 서비스에 저장하거나 생성한 정보가 유출·변조됐거나 그럴 가능성이 있는 경우도 통지 대상에 포함된다.
과학기술정보통신부는 10일 이 같은 내용을 담은 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 일부개정령안’을 입법예고했다. 지난 3월 개정된 정보통신망법의 후속 조치로, 침해사고 이후 이용자 통지와 피해구제, 기업의 정보보호 책임에 관한 세부 기준을 마련하는 것이 핵심이다.
다만 이번 내용은 입법예고안으로, 의견 수렴과 법제 심사 등을 거쳐 최종 내용과 시행 시점이 달라질 수 있다.
온라인 서비스 2시간 중단되면 통지 의무

개정안은 침해사고로 서비스 장애나 중단이 2시간 이상 이어진 경우 이용자에게 사고 사실을 알리도록 했다.
지금까지 기업의 침해사고 대응은 정부 신고와 시스템 복구에 상대적으로 초점이 맞춰졌다. 개정안이 시행되면 이용자가 자신이 이용하는 서비스에 어떤 사고가 발생했는지 신속하게 알 수 있도록 통지 절차가 강화된다.
서비스 중단 시간이 2시간 미만이라고 해서 모든 통지 의무가 사라지는 것은 아니다. 이용자 정보가 유출되거나 변조된 사실이 확인됐거나 그럴 가능성이 있다면 서비스 장애 시간과 별도로 통지 대상이 될 수 있다.
침해사고 이용자 통지 대상
| 구분 | 통지 여부 |
|---|---|
| 침해사고로 서비스가 2시간 이상 중단 | 통지 대상 |
| 이용자 정보가 유출된 경우 | 통지 대상 |
| 이용자 정보가 변조된 경우 | 통지 대상 |
| 정보 유출·변조 가능성이 있는 경우 | 통지 대상 |
| 단순 장비 고장이나 정기점검 | 침해사고 해당 여부에 따라 판단 |
| 서비스 중단 2시간 미만 | 정보 유출·변조 여부 등 별도 검토 |
‘2시간’은 모든 서비스 장애에 적용될까
이번 통지 기준은 해킹 등 침해사고로 발생한 서비스 장애·중단을 대상으로 한다.
정기점검이나 일반적인 장비 고장, 통신선 장애 등 보안 침해와 관계없는 모든 서비스 중단이 자동으로 같은 규정을 적용받는 것은 아니다. 사고 원인이 정보통신망이나 정보시스템에 대한 불법 접근, 악성코드, 서비스 거부 공격 등 침해행위와 관련됐는지가 중요하다.
정보통신 관련 법령은 해킹과 컴퓨터바이러스, 서비스 거부 공격 등 전자적 침해행위로 발생한 사태를 침해사고로 규정하고 있다.
사업자는 장애가 발생했을 때 단순 기술 오류인지 침해사고인지 신속하게 확인하고, 침해 가능성이 있다면 정부 신고와 이용자 통지를 준비해야 한다.
개인정보 아닌 이용자 정보도 통지 대상
개정안은 개인정보뿐 아니라 서비스 이용 과정에서 생성·저장된 다른 이용자 정보까지 보호 범위를 넓혔다.
예를 들어 이용자가 온라인 서비스에 저장한 문서와 게시물, 게임 기록, 거래 내역, 설정값 등이 유출되거나 임의로 변경된 경우가 해당할 수 있다.
개인정보 유출은 개인정보보호법에 따른 별도 통지·신고 의무가 적용될 수 있다. 이번 개정안은 개인정보에 해당하지 않더라도 이용자의 권리와 서비스 이용에 영향을 줄 수 있는 정보가 침해된 경우까지 알림 범위를 확대한 데 의미가 있다.
이용자 정보 침해 사례
- 클라우드에 저장한 파일이 외부로 유출된 경우
- 계정에 저장된 콘텐츠가 삭제되거나 변조된 경우
- 게임 아이템이나 이용 기록이 임의로 변경된 경우
- 온라인 거래·주문 기록이 훼손된 경우
- 게시물과 서비스 설정 정보가 조작된 경우
- 유출·변조 여부가 확정되지 않았지만 가능성이 확인된 경우
통지 내용과 방식은 어떻게 정해질까
사업자가 이용자에게 어떤 방식으로 통지할지에 대한 구체적인 기준은 최종 시행령과 관련 고시를 확인해야 한다.
일반적으로 서비스 공지사항만 게시하는 방법보다 문자메시지와 이메일, 앱 알림 등 이용자가 사고 사실을 직접 확인할 수 있는 방식이 중요하다. 통지 내용에는 사고 발생 사실과 시점, 영향을 받은 서비스와 정보, 이용자가 취해야 할 조치 등이 포함될 수 있다.
다만 입법예고 단계에서 확정되지 않은 세부 통지 항목과 기한을 임의로 단정해서는 안 된다. 사업자는 시행령이 확정되면 내부 침해사고 대응 지침과 이용자 연락 체계를 개정할 필요가 있다.
사고 신고 후 14일 내 피해구제 결과 제출

침해사고가 발생한 기업은 정부에 사고 사실을 신고하는 데서 끝나지 않는다.
개정안에 따르면 사업자는 침해사고 신고 후 14일 이내에 이용자 피해구제를 위해 실시한 조치와 결과를 정부에 제출해야 한다.
정부가 사고 원인과 서비스 복구 여부뿐 아니라 실제 이용자 피해가 어떻게 처리됐는지까지 확인하겠다는 취지다.
14일 내 제출할 피해구제 관련 내용
- 피해 이용자 확인 결과
- 이용자에게 실시한 사고 통지 내용
- 계정 보호와 비밀번호 초기화 조치
- 유출·변조된 정보의 복구 여부
- 이용료 환불이나 보상 등 구제 내용
- 추가 피해 방지를 위한 안전조치
- 피해구제 절차의 진행 결과
사고 조사나 이용자 피해 규모 확인이 14일 안에 끝나지 않을 수도 있다. 이 경우 어떤 범위까지 중간 결과를 제출해야 하는지는 최종 시행령과 과학기술정보통신부 안내를 확인해야 한다.
침해사고 피해구제까지 정부가 확인
이번 개정안은 침해사고 대응의 기준을 ‘서비스가 다시 작동하는지’에서 ‘이용자의 피해가 실제로 해소됐는지’로 확장했다.
서비스가 복구됐더라도 이용자의 데이터가 사라지거나 계정이 탈취되고, 결제·거래 과정에서 손해가 발생했다면 사고 대응이 끝났다고 보기 어렵다.
정부는 사업자가 제출한 피해구제 조치와 결과를 바탕으로 이용자 통지가 제대로 이뤄졌는지, 피해 복구와 재발 방지 조치가 적절했는지 확인하게 될 전망이다.
기업은 사고 대응팀에 보안·개발 부서뿐 아니라 고객지원, 법무, 홍보, 보상 담당 부서가 함께 참여하는 체계를 마련해야 한다.
대형 정보통신서비스·데이터센터 ISMS 강화
대규모 이용자와 국가 디지털 인프라에 영향을 미치는 사업자는 일반 기업보다 강화된 정보보호 관리체계 심사를 받게 된다.
ISMS는 기업이 정보자산을 안전하게 관리하고 해킹과 정보 유출에 대응할 수 있는 조직과 절차, 기술적 보호조치를 갖췄는지를 심사해 인증하는 제도다.
현행 정보통신망법과 시행령에는 정보보호 관리체계 인증과 집적정보통신시설 보호에 관한 법적 근거가 마련돼 있다.
개정안은 사회적 영향력이 큰 기업에 더 엄격한 심사 기준을 적용해 대형 침해사고를 예방하려는 목적을 담고 있다.
강화된 ISMS 심사 대상은

국가 디지털 인프라와 연결된 주요 정보통신서비스·데이터센터 사업자는 전년도 매출액 1조 원 이상일 경우 강화된 심사를 받는다.
일반 정보통신서비스 기업은 전년도 매출액 3조 원 이상이 기준이다.
매출 기준에 해당하지 않더라도 최근 3년 이내 침해사고로 민관합동조사를 받았거나 정보보호 관련 과징금 처분을 받은 기업도 강화된 심사 대상이 될 수 있다.
강화된 ISMS 대상 기준
| 사업자 구분 | 기준 |
| 주요 정보통신서비스 사업자 | 전년도 매출액 1조 원 이상 |
| 주요 데이터센터 사업자 | 전년도 매출액 1조 원 이상 |
| 일반 정보통신서비스 기업 | 전년도 매출액 3조 원 이상 |
| 침해사고 발생 기업 | 최근 3년 이내 민관합동조사를 받은 경우 |
| 행정처분 기업 | 최근 3년 이내 관련 과징금 처분을 받은 경우 |
매출액 산정 범위와 ‘주요 사업자’의 구체적인 정의는 최종 시행령과 고시에서 확인해야 한다.
강화된 ISMS 심사는 무엇이 달라질까
기존 ISMS 인증은 정보보호 정책과 조직, 인적 보안, 접근통제, 시스템 운영, 사고 대응 등 관리적·기술적 보호조치를 점검한다.
강화된 심사에서는 대규모 서비스와 데이터센터의 사회적 영향력을 고려해 사고 예방과 복구 역량을 더 엄격하게 살펴볼 가능성이 크다.
구체적으로는 다음과 같은 항목이 중요해질 수 있다.
- 경영진의 정보보호 책임과 의사결정 체계
- 핵심 시스템의 이중화와 백업
- 침해사고 탐지·분석 능력
- 외부 협력사와 공급망 보안
- 데이터센터 물리적·기술적 보호
- 서비스 연속성과 재해복구 계획
- 이용자 통지와 피해구제 절차
- 사고 후 재발 방지 조치의 이행 여부
최종 심사항목과 인증 방식은 시행령 확정 후 관련 인증 기준을 통해 구체화될 것으로 보인다.
최근 3년 침해사고 기업도 강화 심사
강화된 ISMS 심사는 기업 규모뿐 아니라 과거 보안사고 이력도 반영한다.
최근 3년 이내 침해사고로 민관합동조사를 받은 기업은 매출액 기준과 별도로 심사 대상이 될 수 있다. 정보보호 관련 과징금 처분을 받은 기업도 포함된다.
이는 한 차례 중대한 보안사고를 겪은 기업이 단순히 복구 조치만 하고 기존 인증을 유지하는 것을 넘어, 조직과 시스템 전반의 개선 여부를 다시 엄격하게 검증하겠다는 의미다.
반복적인 침해사고가 발생한 기업은 사고 원인 분석과 재발 방지 명령 이행, 보호조치 개선 결과가 인증 과정에서 중요하게 평가될 전망이다.
재발 방지 명령 불이행하면 이행강제금
정부의 시정 또는 재발 방지 명령을 이행하지 않은 기업에는 이행강제금이 부과된다.
개정안은 하루 평균 매출액의 0.02%를 이행강제금 산정 기준으로 제시했다. 기업이 명령을 계속 이행하지 않으면 90일마다 다시 부과할 수 있다.
이는 일회성 과태료만으로는 대규모 사업자에게 충분한 이행 압박이 되지 않을 수 있다는 점을 고려한 제도다. 명령을 이행할 때까지 매출액과 연동한 경제적 부담을 반복적으로 부과해 실질적인 개선을 유도하는 구조다.
이행강제금 핵심 기준
| 구분 | 내용 |
| 부과 사유 | 시정·재발 방지 명령 불이행 |
| 산정 기준 | 하루 평균 매출액의 0.02% |
| 재부과 주기 | 불이행이 계속되면 90일마다 |
| 제도 목적 | 기업의 신속한 명령 이행과 재발 방지 |
| 실제 금액 | 기업별 매출액과 불이행 기간 등에 따라 달라짐 |
하루 평균 매출액 0.02%는 얼마일까
이행강제금은 기업의 하루 평균 매출액을 기준으로 계산하므로 기업 규모에 따라 액수가 달라진다.
예를 들어 하루 평균 매출액이 100억 원인 기업이라면 0.02%는 200만 원이다. 하루 평균 매출액이 1000억 원이라면 2000만 원이 된다.
다만 이는 비율을 이해하기 위한 단순 계산일 뿐이다. 실제 이행강제금은 시행령에 규정되는 매출액 산정 방법과 부과 기간, 감경·가중 사유 등에 따라 달라질 수 있다.
시행령이 최종 확정되기 전에는 특정 기업의 예상 이행강제금을 단정해서는 안 된다.
이번 개정안은 언제부터 시행되나
이번 시행령 일부개정령안은 입법예고 단계다.
입법예고 기간에는 기업과 전문가, 시민단체 등 이해관계자가 의견을 제출할 수 있다. 과학기술정보통신부는 의견을 검토한 뒤 법제처 심사와 국무회의 등 후속 절차를 거쳐 시행령을 확정하게 된다.
따라서 2시간 이상 서비스 중단 시 통지 의무와 강화된 ISMS 심사 기준이 10일부터 곧바로 적용되는 것은 아니다.
실제 시행일과 적용 대상, 유예기간은 최종 공포되는 시행령과 부칙을 확인해야 한다.
이용자가 받게 될 통지에는 무엇이 필요할까
개정안의 목적을 달성하려면 기업이 단순히 ‘사고가 발생했다’는 사실만 알리는 데 그쳐서는 안 된다.
이용자가 자신의 피해 가능성을 판단하고 대응할 수 있는 정보가 포함돼야 한다.
이용자 통지에 필요한 핵심 정보
- 사고가 발생한 날짜와 확인 시점
- 영향을 받은 서비스
- 유출·변조 가능성이 있는 정보
- 현재 서비스 복구 상태
- 비밀번호 변경 등 이용자가 취할 조치
- 피해 접수와 문의 방법
- 환불·보상 등 피해구제 절차
- 추가 조사 결과를 확인할 수 있는 경로
통지가 지나치게 늦거나 어려운 기술 용어로만 작성되면 이용자가 필요한 조치를 놓칠 수 있다. 기업은 침해사고 대응 매뉴얼에 이용자 대상 안내문 작성과 발송 절차를 포함해야 한다.
기업이 준비해야 할 침해사고 대응체계
제도가 시행되면 정보통신서비스 사업자는 사고 탐지부터 이용자 피해구제까지 전 과정을 기록하고 관리해야 한다.
기업 준비사항
- 서비스 중단 시간을 자동으로 기록하는 체계
- 침해사고와 일반 장애를 구분하는 분석 절차
- 이용자 연락처와 통지 채널 관리
- 정보 유출·변조 범위를 확인하는 로그 보관
- 사고 신고 후 14일 일정 관리
- 피해 접수와 보상 기준 마련
- 경영진 보고와 정부 제출 절차
- 시정·재발 방지 명령 이행 관리
- 공급망과 외부 위탁업체의 사고 대응 점검
대형 사업자는 강화된 ISMS 심사에 대비해 인증 취득을 위한 일시적인 점검보다 상시적인 보안 운영체계를 구축해야 한다.
이용자는 침해사고 통지를 받으면 어떻게 해야 하나
서비스 사업자로부터 침해사고 통지를 받았다면 어떤 정보가 영향을 받았는지 먼저 확인해야 한다.
계정 정보가 유출됐을 가능성이 있다면 비밀번호를 변경하고, 같은 비밀번호를 사용하는 다른 서비스도 함께 바꾸는 것이 좋다. 다중인증 기능을 제공하는 경우 설정하면 계정 탈취 위험을 줄일 수 있다.
저장된 파일이나 거래정보가 변조됐다면 원본 자료와 이용 내역을 비교하고 화면을 캡처해 보관해야 한다. 금전적 피해가 의심되면 해당 사업자와 금융회사에 즉시 알리고 정부의 침해사고 신고·상담 채널을 이용할 수 있다.
이용자 대응 체크리스트
- 통지된 사고 범위와 발생 시점 확인
- 비밀번호 변경과 다중인증 설정
- 로그인·결제·거래 내역 점검
- 변조된 데이터와 오류 화면 저장
- 사업자 피해접수 창구에 신고
- 환불·복구·보상 절차 확인
- 의심 문자와 이메일의 링크 클릭 금지
정보통신망법 시행령 개정안 핵심 정리
이번 개정안은 침해사고가 발생한 기업의 책임을 정부 신고와 서비스 복구에서 이용자 통지와 피해구제까지 확대했다.
온라인 서비스가 2시간 이상 중단되거나 이용자 정보가 유출·변조될 가능성이 있으면 이용자에게 사고 사실을 알리도록 했다. 사고 신고 후 14일 안에는 피해구제 조치와 결과도 정부에 제출해야 한다.
대형 정보통신서비스와 데이터센터 사업자, 최근 침해사고가 발생한 기업에는 강화된 ISMS 심사가 적용될 전망이다. 정부 명령을 이행하지 않으면 매출액과 연동한 이행강제금을 반복적으로 부과할 수 있다.
다만 입법예고안은 의견 수렴 과정에서 바뀔 수 있다. 기업과 이용자는 최종 공포되는 시행령의 적용 시점과 통지 방식, 대상 기준을 다시 확인해야 한다.
자주 묻는 질문
온라인 서비스가 2시간 멈추면 무조건 이용자에게 알려야 하나요?
이번 개정안은 해킹 등 침해사고로 서비스 장애나 중단이 2시간 이상 이어진 경우를 통지 대상으로 규정합니다. 단순 정기점검이나 일반 장비 고장은 침해사고 해당 여부를 별도로 판단해야 합니다.
서비스 중단이 2시간 미만이면 통지하지 않아도 되나요?
서비스 중단 시간이 2시간 미만이라도 이용자 정보가 유출·변조됐거나 그럴 가능성이 확인되면 통지 대상이 될 수 있습니다.
개인정보가 아닌 정보도 통지 대상인가요?
네. 개정안은 개인정보가 아니더라도 이용자가 서비스에 저장하거나 생성한 정보가 유출·변조됐거나 그럴 가능성이 있는 경우 통지하도록 했습니다.
사업자는 침해사고 후 언제까지 피해구제 결과를 제출해야 하나요?
개정안에 따르면 침해사고를 신고한 날부터 14일 이내에 이용자 피해구제 조치의 내용과 결과를 정부에 제출해야 합니다.
강화된 ISMS 심사를 받는 기업은 어디인가요?
주요 정보통신서비스·데이터센터 사업자는 전년도 매출 1조 원 이상, 일반 정보통신서비스 기업은 3조 원 이상일 경우 대상이 됩니다. 최근 3년 이내 민관합동조사나 과징금 처분을 받은 기업도 포함될 수 있습니다.




댓글을 남기려면 로그인 해주세요.