기업에서 자료 제출 거부 시 최대 1000만원 과태료 부과 근거 마련



앞으로 해킹이나 분산서비스거부(DDoS·디도스)등 사이버공격을 받은 기업이 해당 사고를 조사하는 정부기관의 자료 제출요구를 거부할 경우, 최대 1000만원의 과태료를 물게 된다.



지난 24일 박용규 한국인터넷진흥원(KISA) 사이버침해대응본부 침해사고분석단장은 기자들과 만나 "기존엔 침해사고 조사에 필요한 자료 요구 시 기업이 제출하지 않아도 법적인 처벌이 없었지만, 정보통신망법(정보통신이용촉진및정보보호에관한법률) 개정을 통해 자료제출 거부 시 행정처분 받는다"고 설명했다.



기존 정보통신망법에선 침해 사고 피해를 입은 기업이 관련 자료제출 등을 거부할 시, 조사기관이 임의로 조사에 착수하거나 자료를 수집할 수 없어 원인규명에 한계가 있다는 지적이 있었다.



박용규 단장은 "개정 전에는 사고가 접수 이후 분석 동의 절차가 필수였다"면서 "분석을 하고자 할 때, 동의 여부를 항상 물어보고 동의를 받으면 사고·분석 조사를 진행하고, 또 이 결과에 따른 조치와 재발 방지를 안내했다"고 말했다.



이어 "그러나 중소기업이나 개인기업의 경우, 동의를 거부하는 사례도 있었는데 대개 기업이 자체 분석하거나, 혹은 아예 시스템을 포맷하는 형태로 무마해버리기도 했다"면서 "이런 경우엔 원인 분석이 불가했다"고 설명했다.



이같은 문제점이 대두되면서 정부는 정보통신망법(제48조의4) 침해사고 원인 분석 조항을 개정해 조사기관·기업의 보다 적극적인 조사 참여가 이뤄지도록 했다.



개정안은 사고 정보를 원인분석에 활용할 수 있도록 ▲침해사고 발생 기업이 수행해야 하는 피해확산 조치 요건 구체화 ▲침해사고 발생 기업에 대한 조치권고 권한 명문화 ▲침해사고에 대한 자료보전 및 자료 제출 요구 권한 명문화 등 의무조항을 담았다.



아울러 과태료 부과 기준 조항에 기존 조사 방해·거부·기피에 더해 자료 제출 거부·거짓 제출 내용도 추가해 기업의 사이버침해 내용 조사를 위해 정부기관 등이 관련 자료 제출을 요구했을 때, 기업이 이를 거부하면 많게는 1000만원의 과태료를 처분할 수 있게 됐다.



박 단장은 "침해 사고에 적극적으로 과기정통부와 KISA가 개입할 수 있는 근거가 마련됐다"고 말했다.