과학기술

정보통신망법 개정, 정보보호 관리체계 의무 적용 대상은?

2026.03.24(수정됨 2026.03.24)|읽는 시간 약 6분

핵심 요약

과학기술정보통신부가 사이버 침해사고 예방부터 대응까지 전 범위를 강화하는 정보통신망법 개정안을 마련해 2026년 3월 24일 국무회의 의결을 완료했습니다. 이번 개정은 정보보호 관리체계(ISMS) 의무 적용 대상 기업·기관의 사이버보안 체계를 제도적으로 뒷받침하기 위한 기반 마련에 초점을 두고 있습니다.

정보통신망법 개정안, 왜 나왔나?

과학기술정보통신부는 국민의 사이버보안 불안감을 해소하기 위한 제도적 기반을 마련한다고 밝혔습니다. 이번 정보통신망법 개정안은 사이버 침해사고의 예방에서 대응까지 전 범위를 강화하는 것이 핵심입니다.

그동안 사이버 공격이 고도화되면서, 기존 법령만으로는 빠르게 변화하는 보안 위협에 충분히 대처하기 어렵다는 지적이 있었습니다. 이번 개정안은 이러한 문제의식을 반영해 제도적 보완을 추진하는 것입니다.

정보보호 관리체계(ISMS) 의무 적용 대상은 누구인가?

정보보호 관리체계(ISMS)란 기업·기관이 보유한 정보자산을 체계적으로 보호하기 위해 수립·운영하는 관리 체계를 말합니다. 정보통신망법에 따라 일정 기준에 해당하는 사업자는 ISMS 인증을 의무적으로 취득해야 합니다.

현행 정보통신망법상 의무 대상 분류

구분	대상	비고
정보통신서비스 제공자	일정 매출·이용자 수 기준 충족 사업자	정보통신망법 시행령 기준
집적정보통신시설 사업자	IDC(인터넷데이터센터) 운영자	타 기업 정보자산 위탁 관리
상급종합병원·학교 등	개인정보를 대량 처리하는 공공·민간 기관	개인정보보호법 연계

구체적인 매출액·이용자 수 기준 등 세부 적용 요건은 정보통신망법 시행령에서 규정하고 있으며, 개정안에 따른 변경 사항은 시행령 확정 후 과학기술정보통신부에서 안내할 예정입니다.

이번 개정으로 무엇이 강화되나?

과학기술정보통신부에 따르면, 이번 개정안은 사이버 침해사고에 대해 예방 → 탐지 → 대응의 전 단계에 걸쳐 제도적 보완을 추진합니다.

개정안의 주요 방향

예방 강화: 정보보호 관리체계 의무 적용 대상의 보안 수준 제고
대응 강화: 침해사고 발생 시 신속한 대응을 위한 제도적 기반 마련
국민 보호: 이용자의 사이버보안 불안감 해소를 위한 체계 정비

개정안의 세부 조항별 시행 시기와 구체적 적용 범위는 국회 심의를 거쳐 확정됩니다.

함께 읽으면 좋은 정책 가이드

에너지가짜 석유 유통 단속, 800회 집중 점검에서 적발된 20건의 실태 경제과징금 5억 6,900만 원 사례로 보는 공정거래위원회 신고 절차

ISMS 인증, 기업이 준비해야 할 사항은?

ISMS 의무 적용 대상에 해당하는 기업·기관이라면, 다음과 같은 사항을 상시적으로 점검할 필요가 있습니다.

준비 체크리스트

현황 파악: 자사가 의무 대상에 해당하는지 매출·이용자 수 기준 확인
관리체계 수립: 정보보호 정책, 위험관리, 침해사고 대응 절차 문서화
인증 신청: 한국인터넷진흥원(KISA)을 통한 ISMS 또는 ISMS-P 인증 절차 진행
사후관리: 인증 취득 후 연 1회 이상 사후심사 대비

개정안 입법 절차, 앞으로 어떻게 진행되나?

정보통신망법 개정안은 2026년 3월 24일 국무회의 의결을 완료했습니다. 이후 국회 제출 및 심의·의결 절차를 거쳐 최종 확정됩니다. 시행 시기와 세부 시행령 내용은 국회 통과 후 별도 공포됩니다.

참고

이번 개정안의 전문은 과학기술정보통신부 홈페이지 보도자료에서 확인할 수 있습니다. 의무 적용 대상 해당 여부 등 구체적 문의는 과학기술정보통신부 또는 한국인터넷진흥원(KISA)에 문의하시기 바랍니다.

자주 묻는 질문 (FAQ)

정보보호 관리체계(ISMS) 인증이란 무엇인가요?

기업·기관이 보유한 정보자산을 보호하기 위해 수립·운영하는 관리체계에 대해 한국인터넷진흥원(KISA)이 적합성을 평가하는 인증 제도입니다. 정보통신망법에 따라 일정 기준 이상 사업자는 의무적으로 취득해야 합니다.

ISMS 의무 적용 대상인지 어떻게 확인하나요?

정보통신망법 시행령에서 정한 매출액·이용자 수 등의 기준에 해당하는지 확인해야 합니다. 구체적 기준은 한국인터넷진흥원(KISA) 또는 과학기술정보통신부에 문의하시기 바랍니다.

이번 정보통신망법 개정안의 핵심 내용은 무엇인가요?

과학기술정보통신부에 따르면, 사이버 침해사고의 예방에서 대응까지 전 범위를 강화하여 국민의 사이버보안 불안감을 해소하는 것이 핵심입니다. 세부 조항은 국회 심의를 거쳐 확정됩니다.

개정안은 언제 시행되나요?

2026년 3월 24일 국무회의 의결이 완료되었으며, 이후 국회 제출·심의를 거쳐 확정됩니다. 구체적 시행 시기는 국회 통과 후 별도 공포될 예정입니다.

ISMS와 ISMS-P의 차이는 무엇인가요?

ISMS는 정보보호 관리체계 인증이고, ISMS-P는 여기에 개인정보 처리 단계별 보호 요건이 추가된 통합 인증입니다. 개인정보를 대량 처리하는 사업자는 ISMS-P가 적합할 수 있으며, 세부 사항은 KISA에 문의하세요.

ISMS 인증을 받지 않으면 어떤 불이익이 있나요?

의무 대상임에도 인증을 취득하지 않으면 정보통신망법에 따라 과태료 등 행정처분을 받을 수 있습니다. 구체적 제재 수준은 관련 법령에서 정하고 있으므로 과학기술정보통신부에 확인하시기 바랍니다.

소규모 사업자도 ISMS 인증이 필요한가요?

의무 적용은 일정 규모 이상의 정보통신서비스 제공자를 대상으로 합니다. 소규모 사업자는 자율적으로 인증을 취득할 수 있으며, 의무 해당 여부는 시행령 기준을 확인하거나 KISA에 문의하세요.

출처: 대한민국 정책브리핑(korea.kr)

데이터 신뢰도 정보

출처

대한민국 정책브리핑(korea.kr)

최종 확인일

2026.03.24

본 가이드는 PLCY 정책분석팀이 정부 원문을 기반으로 작성 및 검증했습니다. 편집 정책 보기

이 기사가 도움이 되었나요?