정보통신망법 개정, 보안사고 기업에 매출 3% 과징금 — B2B 기업이 지금 점검해야 할 것
🤖 AI Summary
2026년 3월 24일 국무회의에서 정보통신망법 개정안이 의결되었습니다. 핵심은 5년 이내 2회 이상 침해사고가 반복된 기업에 매출액 최대 3% 과징금을 부과한다는 것입니다. 여기에 CISO 임원급 지정 의무화, 침해사고 24시간 이내 신고, 정보보호 수준 정기 평가까지 더해져 B2B 기업의 보안 책임이 크게 강화됩니다. 이 글에서는 개정안 핵심 내용과 기업이 지금 당장 점검해야 할 사항을 정리합니다.
블로그 목차
정보통신망법 개정, 왜 지금 주목해야 하나요?
2026년 3월 12일, 정보통신망법 개정안이 국회 본회의를 통과했습니다. 이어 3월 24일 국무회의에서 의결까지 완료되면서 시행이 확정되었는데요. 이번 정보통신망법 개정의 핵심은 단순합니다. 보안사고를 반복하는 기업에 매출액 최대 3%의 과징금을 부과한다는 것입니다.
과거에도 침해사고에 대한 제재는 있었지만, 과태료 수준에 그쳐 실효성이 부족하다는 지적이 꾸준했습니다. 이번 개정은 정보통신망법 제정 이후 가장 강력한 수준의 제재를 담고 있어 B2B 기업이라면 반드시 내용을 파악하고 대비해야 합니다.
특히 같은 날 전기통신사업법 개정안도 함께 의결되었고, 2026년도 사이버보안 실태 평가지표도 개편되어 클라우드 환경 특화 점검 기준이 추가되었습니다. 보안 규제가 전방위로 강화되는 흐름인 셈이죠.
핵심 변화 1 — 반복 침해사고 시 매출 3% 과징금
이번 정보통신망법 개정에서 가장 주목해야 할 조항은 단연 과징금입니다. 기존에는 침해사고가 발생해도 과태료 수천만 원 수준에 그쳤지만, 이제는 차원이 달라집니다.
고의 또는 중과실로 5년 이내 2회 이상 침해사고가 발생한 기업에는 시행령으로 정하는 매출액의 최대 3% 이하 범위에서 과징금이 부과됩니다.
연 매출 1,000억 원인 기업이라면 최대 30억 원의 과징금을 물 수 있다는 의미입니다. B2B SaaS 기업, IT 서비스 기업, 통신사 등 정보통신서비스를 제공하는 모든 기업이 대상이 될 수 있습니다.
과징금 부과 요건 정리
대상: 정보통신서비스 제공자 (B2B SaaS, IT 서비스, 통신사 등)
요건: 고의 또는 중과실 + 5년 이내 2회 이상 침해사고
금액: 시행령으로 정하는 매출액의 최대 3%
시행: 공포 후 6개월 경과 시점
참고로, 영리 목적의 광고성 정보 전송 규정을 위반한 경우에는 매출액의 최대 6%까지 과징금이 부과될 수 있어 마케팅 부서도 주의가 필요합니다.
핵심 변화 2 — CISO 임원급 지정 의무화
정보통신망법 개정으로 정보보호 최고책임자(CISO) 제도도 크게 바뀝니다. 중기업을 제외한 정보통신서비스 제공자는 반드시 임원급 인사를 CISO로 지정해야 합니다.
특히 자산총액 5조 원 이상 공시대상기업집단이나, ISMS 의무대상 중 자산총액 5,000억 원 이상인 기업은 이사급 임원을 CISO로 지정해야 합니다.
CISO의 법정 업무 범위
정보보호에 필요한 인력 관리 및 예산 편성
이사회에 대한 정보보호 현황 및 주요 사항 보고
침해사고 예방 및 대응 계획 수립
정보보호 교육 및 훈련 총괄
이전까지 CISO를 형식적으로 지정해 놓고 실질적 권한을 부여하지 않았던 기업이라면, 이번 개정을 계기로 조직 구조를 재점검해야 합니다.
핵심 변화 3 — 침해사고 신고 24시간, 조사권 대폭 확대
기존에는 침해사고 신고 기한이 모호했지만, 이번 정보통신망법 개정으로 인지한 때부터 24시간 이내에 한국인터넷진흥원(KISA)에 신고해야 합니다.
대통령령으로 정하는 중대 침해사고의 경우에는 이용자에게도 지체 없이 통지해야 하는 의무가 추가됩니다. 이전처럼 사고를 덮거나 시간을 끌 수 없게 된 것이죠.
더 중요한 변화는 정부의 조사권입니다. 이제 기업의 동의 없이도 자료보전을 요구하거나 사고 조사에 필요한 자료 제출을 요청할 수 있습니다. 중대사고 시에는 소속 공무원이나 민관합동조사단이 직접 현장 조사에 나설 수 있습니다.
자료 제출을 거부하거나 거짓 자료를 제출할 경우에는 300만 원에서 1,000만 원의 과태료가 부과됩니다.
핵심 변화 4 — 정보보호 수준 정기 평가 제도 신설
과학기술정보통신부는 매년 일정 기준에 해당하는 정보통신서비스 제공자에 대해 정보보호 수준을 정기적으로 평가하고, 그 결과를 인터넷 홈페이지 등에 공개할 수 있게 됩니다.
이 제도는 공포 후 1년이 경과한 날부터 시행될 예정으로, 2027년을 목표로 하고 있습니다. 평가 결과가 공개된다는 것은 곧 보안 수준이 낮은 기업이 시장에서 신뢰를 잃을 수 있다는 뜻입니다.
B2B 거래에서 고객사가 파트너의 정보보호 수준 평가 결과를 확인할 수 있게 되면, 보안 역량이 곧 영업 경쟁력으로 직결될 수밖에 없습니다.
동시에 바뀌는 것들 — 전기통신사업법, 사이버보안 실태평가
정보통신망법 개정과 함께 전기통신사업법 개정안도 같은 날 국무회의에서 의결되었습니다. 통신사는 해킹 등 사고 발생에 대비한 이용자 보호 매뉴얼을 의무적으로 마련해야 하며, 긴급한 이용자 보호가 필요한 상황에서는 정부가 사업자에 직접 조치를 명령할 수 있는 법적 근거도 새로 생겼습니다.
국가정보원이 발표한 2026년도 사이버보안 실태 평가지표도 주목할 필요가 있습니다. 이번 개편에서 가장 큰 변화는 클라우드 환경에 특화된 점검 기준이 추가된 것입니다.
AI 기반 보안관제시스템 도입 시 가산점 부여
국가 망 보안체계(N2SF) 구축 항목 신설
다중인증(MFA) 방식 강화 (2점으로 평가 확대)
보안지원 종료 소프트웨어(Windows 10 등) 교체 의무 항목 추가
AI, 클라우드 분야별 전문 평가위원 비율 대폭 확대
B2B 기업이 지금 점검해야 할 5가지
법이 시행되기 전에 미리 대비하는 것이 가장 현명한 전략입니다. 아래 5가지 항목을 기준으로 우리 회사의 보안 체계를 점검해 보세요.
1. CISO 지정 현황 점검
정보통신망법 개정에 따라 임원급 CISO 지정이 의무화됩니다. 현재 CISO가 지정되어 있는지, 임원급인지, 실질적 권한과 예산이 부여되어 있는지 확인하세요. 형식적인 CISO 지정은 더 이상 통하지 않습니다.
2. 침해사고 대응 체계 정비
24시간 이내 신고 의무를 충족하려면 침해사고 탐지 → 내부 보고 → KISA 신고 → 이용자 통지까지의 프로세스가 사전에 정립되어 있어야 합니다. 매뉴얼이 없거나 오래되었다면 지금 바로 업데이트하세요.
3. 보안 인프라 현황 파악
방화벽, IDS/IPS, WAF 등 보안 장비 운영 현황
클라우드 환경의 접근 제어 및 다중인증(MFA) 적용 여부
보안지원 종료 소프트웨어(Windows 10 등) 사용 현황 및 교체 계획
취약점 점검 및 패치 관리 주기
4. 임직원 보안 교육 이력 확인
침해사고의 상당수는 내부 인력의 부주의에서 시작됩니다. 정기적인 보안 교육과 모의 훈련(피싱 테스트 등)을 실시하고 있는지, 교육 이력이 문서화되어 있는지 점검하세요.
5. 외부 파트너·공급망 보안 점검
B2B 기업은 고객사에 서비스를 제공하는 동시에 다른 기업의 서비스를 이용하기도 합니다. SaaS 도구, 클라우드 인프라, 외부 API 등 공급망 전체의 보안 수준을 함께 점검해야 합니다.
내부 리소스가 부족하다면 — MSP 활용 전략
중소·중견 기업의 현실을 보면, 전담 보안 인력이 1~2명이거나 아예 없는 경우도 많습니다. 정보통신망법 개정으로 요구되는 보안 수준을 자체적으로 충족하기 어렵다면, 매니지드 서비스 프로바이더(MSP)를 활용하는 것이 효율적인 대안이 될 수 있습니다.
MSP를 통해 기대할 수 있는 영역은 다음과 같습니다
- 24/7 보안 관제: 실시간 위협 탐지 및 초동 대응 - 취약점 진단 및 패치 관리: 정기 점검 자동화 - 클라우드 보안 아키텍처 설계: MFA, 접근 제어, 암호화 구성 - 침해사고 대응 매뉴얼 수립: 신고 프로세스 포함 - 보안 교육 및 모의 훈련: 임직원 대상 정기 교육 지원
특히 클라우드 환경의 보안은 온프레미스와 다른 접근이 필요합니다. 2026년 사이버보안 실태 평가지표에서 클라우드 특화 점검 기준이 추가된 것도 이런 이유에서입니다. 클라우드 전문 MSP의 도움을 받으면 규제 대응과 실질적 보안 강화를 동시에 달성할 수 있습니다.
자주 묻는 질문(FAQ)
Q. 정보통신망법 개정안은 언제부터 시행되나요?
공포 후 6개월이 경과한 날부터 시행됩니다. 2026년 4월 중 공포가 예상되므로, 10월경 시행될 것으로 보입니다. 다만 정보보호 수준 평가 제도는 공포 후 1년 뒤인 2027년에 시행됩니다.
Q. 과징금 매출 3%는 모든 침해사고에 적용되나요?
아닙니다. 고의 또는 중과실로 5년 이내 2회 이상 침해사고가 발생한 경우에만 해당합니다. 1회 사고이거나 경과실인 경우에는 기존 제재가 적용됩니다.
Q. CISO 지정 의무는 모든 기업에 해당하나요?
중기업을 제외한 정보통신서비스 제공자가 대상입니다. 다만 구체적인 기준은 시행령에서 정해질 예정이며, 자산총액 5조 원 이상 기업은 이사급 CISO를 지정해야 합니다.
Q. 침해사고 신고를 24시간 안에 하지 않으면 어떻게 되나요?
과태료 부과 대상이 됩니다. 또한 자료 제출을 거부하거나 거짓 자료를 제출할 경우 300만~1,000만 원의 과태료가 별도로 부과됩니다. 반복 미신고는 과징금 부과 사유로도 이어질 수 있습니다.
Q. B2B SaaS 기업도 정보통신망법의 적용 대상인가요?
네, 정보통신서비스 제공자에 해당하는 B2B SaaS 기업도 적용 대상입니다. 고객사에 클라우드 기반 서비스를 제공하는 기업이라면 이번 개정의 영향을 반드시 검토해야 합니다.
이것만 기억하세요
정보통신망법 개정으로 반복 보안사고 기업에 매출 3% 과징금이 부과됩니다. CISO 임원급 지정, 24시간 침해사고 신고, 정보보호 수준 공개 평가까지 — 시행 전 지금이 보안 체계를 점검할 마지막 기회입니다.
