[PEDIEN] 정보통신망법 개정 시행(7/7)이 코앞으로 다가오면서 플랫폼과 ICT 사업자의 정보보호 관리체계가 통째로 바뀐다. 본지가 개정 법률과 시행령, 방송통신위원회·과학기술정보통신부·한국인터넷진흥원(KISA)의 최근 발표 자료를 교차 분석한 결과, 이번 개정은 단일 조문을 손본 수준이 아니라 불법스팸, 침해사고 대응, 청소년보호, 그리고 그 밑단을 떠받치는 정보보호 관리체계·거버넌스라는 다섯 갈래의 의무를 동시에 끌어올리는 '전면 개정'에 가깝다. 여러 검색어에서 확인되듯 시장의 관심은 "무엇이 언제부터 바뀌는가", "우리 회사가 대상인가", 그리고 "해외와 비교하면 한국의 규제 강도는 어느 정도인가"에 쏠려 있다. 결론부터 말하면, 침해사고 신고 속도와 반복 사고에 대한 제재 강도만 놓고 볼 때 한국은 이번 시행으로 유럽 선두권과 어깨를 나란히 하는 위치로 이동한다.
개정법은 2026년 3월 국회 본회의를 통과해 같은 달 국무회의 의결을 거쳤고, 원칙적으로 공포 후 6개월이 지난 2026년 7월 7일 시행된다.
다만 정보보호 수준에 대한 정기 평가 제도와 그에 딸린 과태료 조항은 공포 후 1년이 지난 뒤 순차 시행된다.
여야 의원이 발의한 20여 건의 법안을 통합한 결과물이라 조문의 결이 촘촘하고, 사업자로서는 시행일까지 남은 시간이 실질적으로는 준비 기간의 마지막 국면이라는 점을 유념해야 한다.
정보통신망법 개정 시행(7/7), 5대 축은 무엇이 바뀌나
첫 번째 축은 침해사고 대응이다.
핵심은 신고 시계가 빨라졌다는 점이다.
정보통신서비스 제공자는 해킹 등 사이버 침해사고를 인지한 시점부터 24시간 이내에 과기정통부 또는 KISA에 신고해야 한다.
과거에는 신고 시점이 다소 모호하게 운용되던 대목이 이번에 '인지 후 24시간'으로 못 박힌 것이다.
여기에 정부가 해킹 의심 정황만으로도 직권 조사에 착수할 수 있도록 침해사고조사심의위원회를 신설했고, 시정명령을 따르지 않을 경우 이행강제금을 물릴 근거까지 마련했다.
반복 사고에 대한 제재는 특히 무겁다.
고의 또는 중과실로 5년 이내 두 차례 이상 침해사고가 발생하면 매출액의 3% 이내에서 과징금을 부과할 수 있고, 시정명령 미이행 시 이행강제금은 하루당 매출액의 1만분의 3이 누적된다.
본지가 이 산식을 대입해 보면 연매출 1조 원 기업은 하루 약 3억 원, 열흘을 버티면 약 30억 원이 쌓인다.
규제의 방점이 '사후 처벌'에서 '즉시 시정을 압박하는 경제적 지렛대'로 옮겨간 셈이다.
두 번째 축은 관리체계와 거버넌스다.
정보보호 최고책임자(CISO)를 임원급으로 격상하고, 일정 규모 이상 기업은 대표이사나 감사 등과의 겸직을 금지한다.
CISO의 업무에는 정보보호 인력 관리와 예산 편성, 이사회에 대한 정보보호 현황 보고가 명시적으로 포함됐다.
그동안 CISO가 이름만 있고 권한은 없다는 지적이 끊이지 않았는데, 이번 개정은 그 자리를 의사결정 테이블 안으로 끌어들였다.
주요 정보통신서비스 제공자와 집적정보통신시설(IDC) 사업자 등에는 전문 인력과 예산 확보 노력 의무가 새로 부과됐다.
나아가 과기정통부 장관은 매년 일정 기준에 해당하는 사업자의 의무 준수 여부와 정보통신망의 안정성 수준을 평가해 홈페이지 등에 공개할 수 있다.
평가 결과의 공개는 곧 시장 평판과 직결되므로, 사실상 '보안 성적표'가 공시되는 구조다.

세 번째 축은 불법스팸이다.
KISA가 2026년 3월 내놓은 정보통신망법 안내서 제7차 개정본은 옵트인(사전 동의) 원칙을 한층 조인다.
광고 수신 동의를 받을 때 '혜택 알림', '정보 제공' 같은 모호한 표현을 쓰지 못하도록 했고, 앱 푸시 광고의 수신 거부 절차에 로그인 같은 복잡한 단계를 요구하는 관행도 금지된다.
쿠폰·마일리지·적립금을 일방적으로 지급한 뒤 소멸 안내를 명목으로 보내는 문자에도 명시적 사전 동의가 필요하다.
스팸 규제 위반 시에는 관련 매출액의 6% 이내에서 과징금이 부과될 수 있다.
대량 문자 시장의 진입 문턱을 높이는 문자사업자 등록요건 강화도 같은 방향의 조치다.
소비자가 체감하는 변화의 폭은 이 대목에서 가장 클 것으로 본지는 판단한다.
네 번째 축은 청소년보호다.
이번 개정과 후속 정책은 아동·청소년 이용자가 많은 서비스에 대해 유해 콘텐츠 노출을 줄이고 인터페이스·알고리즘의 시스템적 위험을 사업자가 스스로 점검하도록 하는 흐름을 담았다.
국내 통계에서도 초등학생의 SNS 이용이 40%대, 고교생은 80%대에 이르는 것으로 조사되면서, 보호 책임을 부모 개인에게 떠넘기던 방식에서 플랫폼이 구조적 책임을 지는 방향으로 무게가 이동하고 있다.
다섯 번째 축은 이 네 가지를 하나로 묶는 정보보호 관리체계 자체의 상향이다.
개별 의무가 흩어져 있던 과거와 달리, CISO 거버넌스를 정점으로 스팸·침해·청소년 대응이 하나의 관리 체계 안에서 연동되도록 설계됐다는 점이 이번 개정의 문법이다.
해외와 비교하면 한국의 규제 위치는 어디쯤인가
같은 축, 즉 '침해사고 신고 속도'와 '플랫폼의 청소년보호 책임'을 기준으로 삼아 유럽연합, 미국, 호주를 나란히 놓고 보면 한국의 좌표가 또렷해진다.
먼저 유럽연합이다.
EU의 NIS2 지침은 중대 침해사고를 인지한 뒤 24시간 이내 조기 경보, 72시간 이내 정식 신고, 한 달 이내 최종 보고서라는 3단계 체계를 요구한다.
개인정보 유출의 경우 GDPR은 인지 후 72시간 이내 감독기구 통지를 원칙으로 한다. 24시간이라는 초동 시계만 놓고 보면 한국의 이번 개정은 NIS2의 조기 경보 단계와 사실상 같은 속도다.
미국은 결이 다르다.
증권거래위원회(SEC) 규칙은 상장사가 '중대성'을 판단한 날로부터 4영업일 이내에 공시하도록 한다.
신고 시계가 사고 인지가 아니라 중대성 판단 시점부터 돌아간다는 점에서, 속도보다는 투자자 보호를 위한 '공시'의 성격이 강하다.
청소년보호 영역에서는 아동 온라인 안전법(KOSA)과 개정 아동·청소년 온라인 개인정보 보호법이 상원을 압도적 표차로 통과하며 플랫폼에 유해 콘텐츠 완화 의무를 지우는 방향으로 움직여 왔다.
다만 연방 차원의 최종 안착 여부는 여전히 정치 지형에 따라 유동적이라는 한계가 있다.

호주는 청소년보호에서 가장 급진적이다. 2024년 제정한 소셜미디어 최소연령법에 따라 2025년 12월부터 16세 미만 아동의 계정 보유를 원천 금지했고, 위반 플랫폼에는 최대 4950만 호주달러 수준의 과징금을 물릴 수 있게 했다.
연령 자체를 차단하는 호주식 접근���, 프로파일링 기반 맞춤 광고를 미성년자에게 금지하고 시스템적 위험 평가를 요구하는 EU 디지털서비스법(DSA)식 접근, 그리고 콘텐츠 노출 완화와 관리체계 강화에 무게를 둔 한국식 접근은 목표는 같되 수단이 갈린다.
아시아권으로 눈을 돌리면 일본은 일정 규모 이상 개인데이터 유출 시 개인정보보호위원회 보고를 의무화했고, 싱가포르는 개인정보보호법(PDPA)상 통지 대상 유출에 짧은 통지 시한을 두고 있다.
신고 속도의 세계적 흐름이 '수일'에서 '수십 시간'으로, 다시 '24시간'으로 압축돼 온 궤적 위에 한국이 올라선 것이다.
본지의 결론과 남은 쟁점
본지 분석의 첫 번째 명제는 이렇다.
이번 개정의 실질적 무게중심은 조문에 등장하는 '24시간'이 아니라 '매출액 연동 제재'에 있다.
신고 시한은 이미 국제 표준에 수렴해 있었지만, 반복 사고에 매출액 3% 과징금과 하루 단위 이행강제금을 결합한 설계는 기업의 위험 계산을 근본적으로 바꾼다.
보안 투자를 '비용'이 아니라 '손실 회피'로 재정의하도록 만드는 장치다.
둘째, 본지의 결론은 CISO의 임원급 격상과 겸직 금지가 이번 개정에서 가장 오래 남을 변화라는 것이다.
신고 시한은 사후적 규율이지만, 거버넌스는 사고 이전의 의사결정 구조를 바꾸기 때문이다.
셋째, 불법스팸 규제는 소비자 체감도가 가장 높은 반면 사업자 저항도 가장 크다.
옵트인 문구와 앱 푸시 거부 절차까지 규율하는 정교함은 이용자 편익을 높이지만, 마케팅 관행 전반을 손봐야 하는 중소 사업자에게는 준비 부담이 만만치 않다.
넷째, 청소년보호는 방향은 옳되 국내 규정의 구체성이 호주·EU에 견줘 아직 성기다는 것이 본지의 평가다.
연령 차단이냐 위험 평가냐 하는 근본 노선이 국내에서 충분히 정리되지 않은 채 관리체계 강화 쪽으로 먼저 움직였기 때문이다.
함의는 분명하다.
사업자는 시행일까지 침해사고 대응 매뉴얼의 '24시간 시계'를 실제로 돌려보는 모의훈련, CISO 권한·예산의 이사회 명문화, 스팸 동의 문구 전수 점검이라는 세 가지를 최우선 과제로 삼아야 한다.
특히 대응 여력이 상대적으로 취약한 중견·중소 플랫폼과 IDC 사업자는 전문 인력 확보 노력 의무가 새로 얹힌 만큼, 외부 위탁과 내부 역량 사이의 균형을 지금부터 설계해 둘 필요가 있다.
규제가 성적표를 공개하는 방식으로 진화한 이상, 보안 수준은 더 이상 내부 살림이 아니라 시장에 드러나는 평판의 문제가 됐다.
검증 노트
본 기사는 2026년 7월 4일 기준으로 작성됐다.
개정 정보통신망법의 시행일(7월 7일)과 5대 축의 얼개는 국가법령정보센터의 개정 법률·시행령, 국무회의 의결 및 국회 본회의 통과 경과, KISA의 불법스팸 방지 안내서 제7차 개정본, 방송통신위원회·과기정통부 발표 자료를 교차 확인했다.
국제 비교의 수치는 EU NIS2 지침(24·72시간·1개월)과 GDPR 72시간 통지, 미국 SEC 4영업일 공시 규칙, 호주 소셜미디어 최소연령법 및 EU DSA의 미성년자 보호 조항을 각각의 1차·2차 자료로 대조했다.
매출액 3% 과징금과 하루 매출액 1만분의 3 이행강제금의 산식 예시는 공개 해설자료를 근거로 본지가 재계산한 추정치이며, 세부 적용 대상·기준은 후속 시행령·고시로 구체화될 수 있다.
기사 verdict: VERIFIED(1차 자료 교차 확인).
편집국