[학습] 정보통신망법 제6장 정보통신망의 안정성 확보 등

정보통신망 이용촉진 및 정보보호 등에 관한 법률 ( 약칭: 정보통신망법 )

[시행 2022. 12. 11.] [법률 제18871호, 2022. 6. 10., 일부개정]

---

제6장 정보통신망의 안정성 확보 등

 

제45조(정보통신망의 안정성 확보 등) 

① 다음 각 호의 어느 하나에 해당하는 자는 정보통신서비스의 제공에 사용되는 정보통신망의 안정성 및 정보의 신뢰성을 확보하기 위한 보호조치를 하여야 한다. 

1. 정보통신서비스 제공자

2. 정보통신망에 연결되어 정보를 송ㆍ수신할 수 있는 기기ㆍ설비ㆍ장비 중 대통령령으로 정하는 기기ㆍ설비ㆍ장비(이하 “정보통신망연결기기등”이라 한다)를 제조하거나 수입하는 자

② 과학기술정보통신부장관은 제1항에 따른 보호조치의 구체적 내용을 정한 정보보호조치에 관한 지침(이하 “정보보호지침”이라 한다)을 정하여 고시하고 제1항 각 호의 어느 하나에 해당하는 자에게 이를 지키도록 권고할 수 있다. 

③ 정보보호지침에는 다음 각 호의 사항이 포함되어야 한다. 

1. 정당한 권한이 없는 자가 정보통신망에 접근ㆍ침입하는 것을 방지하거나 대응하기 위한 정보보호시스템의 설치ㆍ운영 등 기술적ㆍ물리적 보호조치

2. 정보의 불법 유출ㆍ위조ㆍ변조ㆍ삭제 등을 방지하기 위한 기술적 보호조치

3. 정보통신망의 지속적인 이용이 가능한 상태를 확보하기 위한 기술적ㆍ물리적 보호조치

4. 정보통신망의 안정 및 정보보호를 위한 인력ㆍ조직ㆍ경비의 확보 및 관련 계획수립 등 관리적 보호조치

5. 정보통신망연결기기등의 정보보호를 위한 기술적 보호조치

④ 과학기술정보통신부장관은 관계 중앙행정기관의 장에게 소관 분야의 정보통신망연결기기등과 관련된 시험ㆍ검사ㆍ인증 등의 기준에 정보보호지침의 내용을 반영할 것을 요청할 수 있다. 

 

제45조의2(정보보호 사전점검) 

① 정보통신서비스 제공자는 새로이 정보통신망을 구축하거나 정보통신서비스를 제공하고자 하는 때에는 그 계획 또는 설계에 정보보호에 관한 사항을 고려하여야 한다.

② 과학기술정보통신부장관은 다음 각 호의 어느 하나에 해당하는 정보통신서비스 또는 전기통신사업을 시행하고자 하는 자에게 대통령령으로 정하는 정보보호 사전점검기준에 따라 보호조치를 하도록 권고할 수 있다. 

1. 이 법 또는 다른 법령에 따라 과학기술정보통신부장관의 인가ㆍ허가를 받거나 등록ㆍ신고를 하도록 되어 있는 사업으로서 대통령령으로 정하는 정보통신서비스 또는 전기통신사업

2. 과학기술정보통신부장관이 사업비의 전부 또는 일부를 지원하는 사업으로서 대통령령으로 정하는 정보통신서비스 또는 전기통신사업

③ 제2항에 따른 정보보호 사전점검의 기준ㆍ방법ㆍ절차ㆍ수수료 등 필요한 사항은 대통령령으로 정한다.

 

제45조의3(정보보호 최고책임자의 지정 등) 

① 정보통신서비스 제공자는 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리를 위하여 대통령령으로 정하는 기준에 해당하는 임직원을 정보보호 최고책임자로 지정하고 과학기술정보통신부장관에게 신고하여야 한다. 다만, 자산총액, 매출액 등이 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자의 경우에는 정보보호 최고책임자를 신고하지 아니할 수 있다. 

② 제1항에 따른 신고의 방법 및 절차 등에 대해서는 대통령령으로 정한다.

③ 제1항 본문에 따라 지정 및 신고된 정보보호 최고책임자(자산총액, 매출액 등 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자의 경우로 한정한다)는 제4항의 업무 외의 다른 업무를 겸직할 수 없다. 

④ 정보보호 최고책임자의 업무는 다음 각 호와 같다. 

1. 정보보호 최고책임자는 다음 각 목의 업무를 총괄한다.

가. 정보보호 계획의 수립ㆍ시행 및 개선

나. 정보보호 실태와 관행의 정기적인 감사 및 개선

다. 정보보호 위험의 식별 평가 및 정보보호 대책 마련

라. 정보보호 교육과 모의 훈련 계획의 수립 및 시행

2. 정보보호 최고책임자는 다음 각 목의 업무를 겸할 수 있다.

가. 「정보보호산업의 진흥에 관한 법률」 제13조에 따른 정보보호 공시에 관한 업무

나. 「정보통신기반 보호법」 제5조제5항에 따른 정보보호책임자의 업무

다. 「전자금융거래법」 제21조의2제4항에 따른 정보보호최고책임자의 업무

라. 「개인정보 보호법」 제31조제2항에 따른 개인정보 보호책임자의 업무

마. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행

⑤ 정보통신서비스 제공자는 침해사고에 대한 공동 예방 및 대응, 필요한 정보의 교류, 그 밖에 대통령령으로 정하는 공동의 사업을 수행하기 위하여 제1항에 따른 정보보호 최고책임자를 구성원으로 하는 정보보호 최고책임자 협의회를 구성ㆍ운영할 수 있다. 

⑥ 정부는 제5항에 따른 정보보호 최고책임자 협의회의 활동에 필요한 경비의 전부 또는 일부를 지원할 수 있다. 

⑦ 정보보호 최고책임자의 자격요건 등에 필요한 사항은 대통령령으로 정한다. 

 

- 정보통신망법 시행령 - 제36조의7(정보보호 최고책임자의 지정 및 겸직금지 등) ① 법 제45조의3제1항 본문에서 “대통령령으로 정하는 기준에 해당하는 임직원”이란 다음 각 호의 구분에 따른 사람을 말한다. 1. 다음 각 목의 어느 하나에 해당하는 정보통신서비스 제공자: 사업주 또는 대표자 가. 자본금이 1억원 이하인 자 나. 「중소기업기본법」 제2조제2항에 따른 소기업 다. 「중소기업기본법」 제2조제2항에 따른 중기업으로서 다음의 어느 하나에 해당하지 않는 자 1) 「전기통신사업법」에 따른 전기통신사업자 2) 법 제47조제2항에 따라 정보보호 관리체계 인증을 받아야 하는 자 3) 「개인정보 보호법」 제30조제2항에 따라 개인정보 처리방침을 공개해야 하는 개인정보처리자 4) 「전자상거래 등에서의 소비자보호에 관한 법률」 제12조에 따라 신고를 해야 하는 통신판매업자 2. 다음 각 목의 어느 하나에 해당하는 정보통신서비스 제공자: 이사(「상법」 제401조의2제1항제3호에 따른 자와 같은 법 제408조의2에 따른 집행임원을 포함한다) 가. 직전 사업연도 말 기준 자산총액이 5조원 이상인 자 나. 법 제47조제2항에 따라 정보보호 관리체계 인증을 받아야 하는 자 중 직전 사업연도 말 기준 자산총액이 5천억원 이상인 자 3. 제1호 및 제2호에 해당하지 않는 정보통신서비스 제공자: 다음 각 목의 어느 하나에 해당하는 사람 가. 사업주 또는 대표자 나. 이사(「상법」 제401조의2제1항제3호에 따른 자와 같은 법 제408조의2에 따른 집행임원을 포함한다) 다. 정보보호 관련 업무를 총괄하는 부서의 장 ② 법 제45조의3제1항 단서에서 “자산총액, 매출액 등이 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자”란 정보통신서비스 제공자로서 제1항제1호 각 목의 어느 하나에 해당하는 자를 말한다. ③ 법 제45조의3제1항 단서에 해당하는 자가 정보보호 최고책임자를 신고하지 않은 경우에는 사업주나 대표자를 정보보호 최고책임자로 지정한 것으로 본다.  ④ 법 제45조의3제1항 및 제7항에 따라 정보통신서비스 제공자가 지정ㆍ신고해야 하는 정보보호 최고책임자는 다음 각 호의 어느 하나에 해당하는 자격을 갖추어야 한다. 이 경우 정보보호 또는 정보기술 분야의 학위는 「고등교육법」 제2조 각 호의 학교에서 「전자금융거래법 시행령」 별표 1 비고 제1호 각 목에 따른 학과의 과정을 이수하고 졸업하거나 그 밖의 관계법령에 따라 이와 같은 수준 이상으로 인정되는 학위로 하고, 정보보호 또는 정보기술 분야의 업무는 같은 비고 제3호 및 제4호에 따른 업무로 한다.  1. 정보보호 또는 정보기술 분야의 국내 또는 외국의 석사학위 이상 학위를 취득한 사람 2. 정보보호 또는 정보기술 분야의 국내 또는 외국의 학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 3년 이상 수행한 경력(학위 취득 전의 경력을 포함한다)이 있는 사람 3. 정보보호 또는 정보기술 분야의 국내 또는 외국의 전문학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 5년 이상 수행한 경력(학위 취득 전의 경력을 포함한다)이 있는 사람 4. 정보보호 또는 정보기술 분야의 업무를 10년 이상 수행한 경력이 있는 사람 5. 법 제47조제6항제5호에 따른 정보보호 관리체계 인증심사원의 자격을 취득한 사람 6. 해당 정보통신서비스 제공자의 소속인 정보보호 관련 업무를 담당하는 부서의 장으로 1년 이상 근무한 경력이 있는 사람 ⑤ 법 제45조의3제3항에서 “자산총액, 매출액 등 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자”란 정보통신서비스 제공자로서 제1항제2호 각 목의 어느 하나에 해당하는 자를 말한다.  ⑥ 제5항에 따른 정보통신서비스 제공자가 지정ㆍ신고해야 하는 정보보호 최고책임자는 제4항에 따른 자격과 다음 각 호의 어느 하나에 해당하는 자격을 추가로 갖춰야 하며, 상근(常勤)해야 한다. 이 경우 정보보호 또는 정보기술 분야의 업무는 「전자금융거래법 시행령」 별표 1 비고 제3호 및 제4호에 따른 업무로 한다. 1. 정보보호 분야의 업무를 4년 이상 수행한 경력(제4항제1호부터 제3호까지에서 정한 학위 또는 같은 항 제5호의 자격 취득 전의 경력을 포함한다)이 있는 사람 2. 정보보호 또는 정보기술 분야의 업무를 5년 이상 수행(그중 2년 이상은 정보보호 분야의 업무를 수행해야 한다)한 경력(제4항제1호부터 제3호까지에서 정한 학위 또는 같은 항 제5호의 자격 취득 전의 경력을 포함한다)이 있는 사람

 

제36조의8(정보보호 최고책임자의 신고 방법 및 절차)  법 제45조의3제1항에 따라 정보보호 최고책임자를 지정하고 신고해야 하는 정보통신서비스 제공자는 신고의무가 발생한 날부터 180일 이내에 과학기술정보통신부령으로 정하는 정보보호 최고책임자 지정신고서를 과학기술정보통신부장관에게 제출해야 한다.

 

제46조(집적된 정보통신시설의 보호) 

① 타인의 정보통신서비스 제공을 위하여 집적된 정보통신시설을 운영ㆍ관리하는 정보통신서비스 제공자(이하 “집적정보통신시설 사업자”라 한다)는 정보통신시설을 안정적으로 운영하기 위하여 대통령령으로 정하는 바에 따른 보호조치를 하여야 한다. 

② 집적정보통신시설 사업자는 집적된 정보통신시설의 멸실, 훼손, 그 밖의 운영장애로 발생한 피해를 보상하기 위하여 대통령령으로 정하는 바에 따라 보험에 가입하여야 한다.

 

제46조의2(집적정보통신시설 사업자의 긴급대응) 

① 집적정보통신시설 사업자는 다음 각 호의 어느 하나에 해당하는 경우에는 이용약관으로 정하는 바에 따라 해당 서비스의 전부 또는 일부의 제공을 중단할 수 있다. 

1. 집적정보통신시설을 이용하는 자(이하 “시설이용자”라 한다)의 정보시스템에서 발생한 이상현상으로 다른 시설이용자의 정보통신망 또는 집적된 정보통신시설의 정보통신망에 심각한 장애를 발생시킬 우려가 있다고 판단되는 경우

2. 외부에서 발생한 침해사고로 집적된 정보통신시설에 심각한 장애가 발생할 우려가 있다고 판단되는 경우

3. 중대한 침해사고가 발생하여 과학기술정보통신부장관이나 한국인터넷진흥원이 요청하는 경우

② 집적정보통신시설 사업자는 제1항에 따라 해당 서비스의 제공을 중단하는 경우에는 중단사유, 발생일시, 기간 및 내용 등을 구체적으로 밝혀 시설이용자에게 즉시 알려야 한다.

③ 집적정보통신시설 사업자는 중단사유가 없어지면 즉시 해당 서비스의 제공을 재개하여야 한다.

 

제47조(정보보호 관리체계의 인증) 

① 과학기술정보통신부장관은 정보통신망의 안정성ㆍ신뢰성 확보를 위하여 관리적ㆍ기술적ㆍ물리적 보호조치를 포함한 종합적 관리체계(이하 “정보보호 관리체계”라 한다)를 수립ㆍ운영하고 있는 자에 대하여 제4항에 따른 기준에 적합한지에 관하여 인증을 할 수 있다.

② 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음 각 호의 어느 하나에 해당하는 자는 제1항에 따른 인증을 받아야 한다.

1. 「전기통신사업법」 제6조제1항에 따른 등록을 한 자로서 대통령령으로 정하는 바에 따라 정보통신망서비스를 제공하는 자(이하 “주요정보통신서비스 제공자”라 한다)

2. 집적정보통신시설 사업자

3. 연간 매출액 또는 세입 등이 1,500억원 이상이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상 또는 3개월간의 일일평균 이용자수 100만명 이상으로서, 대통령령으로 정하는 기준에 해당하는 자

③ 과학기술정보통신부장관은 제2항에 따라 인증을 받아야 하는 자가 과학기술정보통신부령으로 정하는 바에 따라 국제표준 정보보호 인증을 받거나 정보보호 조치를 취한 경우에는 제1항에 따른 인증 심사의 일부를 생략할 수 있다. 이 경우 인증 심사의 세부 생략 범위에 대해서는 과학기술정보통신부장관이 정하여 고시한다. 

④ 과학기술정보통신부장관은 제1항에 따른 정보보호 관리체계 인증을 위하여 관리적ㆍ기술적ㆍ물리적 보호대책을 포함한 인증기준 등 그 밖에 필요한 사항을 정하여 고시할 수 있다. 

⑤ 제1항에 따른 정보보호 관리체계 인증의 유효기간은 3년으로 한다. 다만, 제47조의5제1항에 따라 정보보호 관리등급을 받은 경우 그 유효기간 동안 제1항의 인증을 받은 것으로 본다. 

⑥ 과학기술정보통신부장관은 한국인터넷진흥원 또는 과학기술정보통신부장관이 지정한 기관(이하 “정보보호 관리체계 인증기관”이라 한다)으로 하여금 제1항 및 제2항에 따른 인증에 관한 업무로서 다음 각 호의 업무를 수행하게 할 수 있다. 

1. 인증 신청인이 수립한 정보보호 관리체계가 제4항에 따른 인증기준에 적합한지 여부를 확인하기 위한 심사(이하 “인증심사”라 한다)

2. 인증심사 결과의 심의

3. 인증서 발급ㆍ관리

4. 인증의 사후관리

5. 정보보호 관리체계 인증심사원의 양성 및 자격관리

6. 그 밖에 정보보호 관리체계 인증에 관한 업무

⑦ 과학기술정보통신부장관은 인증에 관한 업무를 효율적으로 수행하기 위하여 필요한 경우 인증심사 업무를 수행하는 기관(이하 “정보보호 관리체계 심사기관”이라 한다)을 지정할 수 있다. 

⑧ 한국인터넷진흥원, 정보보호 관리체계 인증기관 및 정보보호 관리체계 심사기관은 정보보호 관리체계의 실효성 제고를 위하여 연 1회 이상 사후관리를 실시하고 그 결과를 과학기술정보통신부장관에게 통보하여야 한다. 

⑨ 제1항 및 제2항에 따라 정보보호 관리체계의 인증을 받은 자는 대통령령으로 정하는 바에 따라 인증의 내용을 표시하거나 홍보할 수 있다. 

⑩ 과학기술정보통신부장관은 다음 각 호의 어느 하나에 해당하는 사유를 발견한 경우에는 인증을 취소할 수 있다. 다만, 제1호에 해당하는 경우에는 인증을 취소하여야 한다. 

1. 거짓이나 그 밖의 부정한 방법으로 정보보호 관리체계 인증을 받은 경우

2. 제4항에 따른 인증기준에 미달하게 된 경우

3. 제8항에 따른 사후관리를 거부 또는 방해한 경우

⑪ 제1항 및 제2항에 따른 인증의 방법ㆍ절차ㆍ범위ㆍ수수료, 제8항에 따른 사후관리의 방법ㆍ절차, 제10항에 따른 인증취소의 방법ㆍ절차, 그 밖에 필요한 사항은 대통령령으로 정한다. 

⑫ 정보보호 관리체계 인증기관 및 정보보호 관리체계 심사기관 지정의 기준ㆍ절차ㆍ유효기간 등에 필요한 사항은 대통령령으로 정한다. 

 

제47조의2(정보보호 관리체계 인증기관 및 정보보호 관리체계 심사기관의 지정취소 등)

① 과학기술정보통신부장관은 제47조에 따라 정보보호 관리체계 인증기관 또는 정보보호 관리체계 심사기관으로 지정받은 법인 또는 단체가 다음 각 호의 어느 하나에 해당하면 그 지정을 취소하거나 1년 이내의 기간을 정하여 해당 업무의 전부 또는 일부의 정지를 명할 수 있다. 다만, 제1호나 제2호에 해당하는 경우에는 그 지정을 취소하여야 한다. 

1. 거짓이나 그 밖의 부정한 방법으로 정보보호 관리체계 인증기관 또는 정보보호 관리체계 심사기관의 지정을 받은 경우

2. 업무정지기간 중에 인증 또는 인증심사를 한 경우

3. 정당한 사유 없이 인증 또는 인증심사를 하지 아니한 경우

4. 제47조제11항을 위반하여 인증 또는 인증심사를 한 경우

5. 제47조제12항에 따른 지정기준에 적합하지 아니하게 된 경우

② 제1항에 따른 지정취소 및 업무정지 등에 필요한 사항은 대통령령으로 정한다.

 

제47조의4(이용자의 정보보호) 

① 정부는 이용자의 정보보호에 필요한 기준을 정하여 이용자에게 권고하고, 침해사고의 예방 및 확산 방지를 위하여 취약점 점검, 기술 지원 등 필요한 조치를 할 수 있다.

② 정부는 제1항에 따른 조치에 관한 업무를 한국인터넷진흥원 또는 대통령령으로 정하는 전문기관에 위탁할 수 있다. 

③ 주요정보통신서비스 제공자는 정보통신망에 중대한 침해사고가 발생하여 자신의 서비스를 이용하는 이용자의 정보시스템 또는 정보통신망 등에 심각한 장애가 발생할 가능성이 있으면 이용약관으로 정하는 바에 따라 그 이용자에게 보호조치를 취하도록 요청하고, 이를 이행하지 아니하는 경우에는 해당 정보통신망으로의 접속을 일시적으로 제한할 수 있다. 

④ 「소프트웨어 진흥법」 제2조에 따른 소프트웨어사업자는 보안에 관한 취약점을 보완하는 프로그램을 제작하였을 때에는 한국인터넷진흥원에 알려야 하고, 그 소프트웨어 사용자에게는 제작한 날부터 1개월 이내에 2회 이상 알려야 한다. 

⑤ 제3항에 따른 보호조치의 요청 등에 관하여 이용약관으로 정하여야 하는 구체적인 사항은 대통령령으로 정한다.

 

제47조의5(정보보호 관리등급 부여) 

① 제47조에 따라 정보보호 관리체계 인증을 받은 자는 기업의 통합적 정보보호 관리수준을 제고하고 이용자로부터 정보보호 서비스에 대한 신뢰를 확보하기 위하여 과학기술정보통신부장관으로부터 정보보호 관리등급을 받을 수 있다. 

② 과학기술정보통신부장관은 한국인터넷진흥원으로 하여금 제1항에 따른 등급 부여에 관한 업무를 수행하게 할 수 있다.

③ 제1항에 따라 정보보호 관리등급을 받은 자는 대통령령으로 정하는 바에 따라 해당 등급의 내용을 표시하거나 홍보에 활용할 수 있다.

④ 과학기술정보통신부장관은 다음 각 호의 어느 하나에 해당하는 사유를 발견한 경우에는 부여한 등급을 취소할 수 있다. 다만, 제1호에 해당하는 경우에는 부여한 등급을 취소하여야 한다. 

1. 거짓이나 그 밖의 부정한 방법으로 정보보호 관리등급을 받은 경우

2. 제5항에 따른 등급기준에 미달하게 된 경우

⑤ 제1항에 따른 등급 부여의 심사기준 및 등급 부여의 방법ㆍ절차ㆍ수수료, 등급의 유효기간, 제4항에 따른 등급취소의 방법ㆍ절차, 그 밖에 필요한 사항은 대통령령으로 정한다.

 

제47조의6(정보보호 취약점 신고자에 대한 포상) 

① 정부는 침해사고의 예방 및 피해 확산 방지를 위하여 정보통신서비스, 정보통신망연결기기등 또는 소프트웨어의 보안에 관한 취약점(이하 “정보보호 취약점”이라 한다)을 신고한 자에게 예산의 범위에서 포상금을 지급할 수 있다.

② 제1항에 따른 포상금의 지급 대상ㆍ기준 및 절차 등은 대통령령으로 정한다.

③ 정부는 제1항에 따른 포상금 지급에 관한 업무를 한국인터넷진흥원에 위탁할 수 있다.

 

제48조(정보통신망 침해행위 등의 금지) 

① 누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하여서는 아니 된다.

② 누구든지 정당한 사유 없이 정보통신시스템, 데이터 또는 프로그램 등을 훼손ㆍ멸실ㆍ변경ㆍ위조하거나 그 운용을 방해할 수 있는 프로그램(이하 “악성프로그램”이라 한다)을 전달 또는 유포하여서는 아니 된다.

③ 누구든지 정보통신망의 안정적 운영을 방해할 목적으로 대량의 신호 또는 데이터를 보내거나 부정한 명령을 처리하도록 하는 등의 방법으로 정보통신망에 장애가 발생하게 하여서는 아니 된다.

 

제48조의2(침해사고의 대응 등) 

① 과학기술정보통신부장관은 침해사고에 적절히 대응하기 위하여 다음 각 호의 업무를 수행하고, 필요하면 업무의 전부 또는 일부를 한국인터넷진흥원이 수행하도록 할 수 있다. 

1. 침해사고에 관한 정보의 수집ㆍ전파

2. 침해사고의 예보ㆍ경보

3. 침해사고에 대한 긴급조치

4. 그 밖에 대통령령으로 정하는 침해사고 대응조치

② 다음 각 호의 어느 하나에 해당하는 자는 대통령령으로 정하는 바에 따라 침해사고의 유형별 통계, 해당 정보통신망의 소통량 통계 및 접속경로별 이용 통계 등 침해사고 관련 정보를 과학기술정보통신부장관이나 한국인터넷진흥원에 제공하여야 한다. 

1. 주요정보통신서비스 제공자

2. 집적정보통신시설 사업자

3. 그 밖에 정보통신망을 운영하는 자로서 대통령령으로 정하는 자

③ 한국인터넷진흥원은 제2항에 따른 정보를 분석하여 과학기술정보통신부장관에게 보고하여야 한다. 

④ 과학기술정보통신부장관은 제2항에 따라 정보를 제공하여야 하는 사업자가 정당한 사유 없이 정보의 제공을 거부하거나 거짓 정보를 제공하면 상당한 기간을 정하여 그 사업자에게 시정을 명할 수 있다. <

⑤ 과학기술정보통신부장관이나 한국인터넷진흥원은 제2항에 따라 제공받은 정보를 침해사고의 대응을 위하여 필요한 범위에서만 정당하게 사용하여야 한다. 

⑥ 과학기술정보통신부장관이나 한국인터넷진흥원은 침해사고의 대응을 위하여 필요하면 제2항 각 호의 어느 하나에 해당하는 자에게 인력지원을 요청할 수 있다. 

 

제48조의3(침해사고의 신고 등) 

① 정보통신서비스 제공자는 침해사고가 발생하면 즉시 그 사실을 과학기술정보통신부장관이나 한국인터넷진흥원에 신고하여야 한다. 이 경우 정보통신서비스 제공자가 이미 다른 법률에 따른 침해사고 통지 또는 신고를 했으면 전단에 따른 신고를 한 것으로 본다. 

1. 삭제 <2022. 6. 10.>

2. 삭제 <2022. 6. 10.>

② 과학기술정보통신부장관이나 한국인터넷진흥원은 제1항에 따라 침해사고의 신고를 받거나 침해사고를 알게 되면 제48조의2제1항 각 호에 따른 필요한 조치를 하여야 한다. 

③ 제1항 후단에 따라 침해사고의 통지 또는 신고를 받은 관계 기관의 장은 이와 관련된 정보를 과학기술정보통신부장관 또는 한국인터넷진흥원에 지체 없이 공유하여야 한다.

 

제48조의4(침해사고의 원인 분석 등) 

① 정보통신서비스 제공자 등 정보통신망을 운영하는 자는 침해사고가 발생하면 침해사고의 원인을 분석하고 그 결과에 따라 피해의 확산 방지를 위하여 사고대응, 복구 및 재발 방지에 필요한 조치를 하여야 한다. 

② 과학기술정보통신부장관은 정보통신서비스 제공자의 정보통신망에 침해사고가 발생하면 그 침해사고의 원인을 분석하고 피해 확산 방지, 사고대응, 복구 및 재발 방지를 위한 대책을 마련하여 해당 정보통신서비스 제공자에게 필요한 조치를 하도록 권고할 수 있다.

③ 과학기술정보통신부장관은 정보통신서비스 제공자의 정보통신망에 중대한 침해사고가 발생한 경우 제2항에 따른 원인 분석 및 대책 마련을 위하여 필요하면 정보보호에 전문성을 갖춘 민ㆍ관합동조사단을 구성하여 그 침해사고의 원인 분석을 할 수 있다. 

④ 과학기술정보통신부장관은 제2항에 따른 침해사고의 원인 분석 및 대책 마련을 위하여 필요하면 정보통신서비스 제공자에게 정보통신망의 접속기록 등 관련 자료의 보전을 명할 수 있다. 

⑤ 과학기술정보통신부장관은 제2항에 따른 침해사고의 원인 분석 및 대책 마련을 하기 위하여 필요하면 정보통신서비스 제공자에게 침해사고 관련 자료의 제출을 요구할 수 있으며, 중대한 침해사고의 경우 소속 공무원 또는 제3항에 따른 민ㆍ관합동조사단에게 관계인의 사업장에 출입하여 침해사고 원인을 조사하도록 할 수 있다. 다만, 「통신비밀보호법」 제2조제11호에 따른 통신사실확인자료에 해당하는 자료의 제출은 같은 법으로 정하는 바에 따른다. 

⑥ 과학기술정보통신부장관이나 민ㆍ관합동조사단은 제5항에 따라 제출받은 자료와 조사를 통하여 알게 된 정보를 침해사고의 원인 분석 및 대책 마련 외의 목적으로는 사용하지 못하며, 원인 분석이 끝난 후에는 즉시 파기하여야 한다. 

⑦ 제3항에 따른 민ㆍ관합동조사단의 구성ㆍ운영, 제5항에 따라 제출된 자료의 보호 및 조사의 방법ㆍ절차 등에 필요한 사항은 대통령령으로 정한다

 

제48조의5(정보통신망연결기기등 관련 침해사고의 대응 등) 

① 과학기술정보통신부장관은 정보통신망연결기기등과 관련된 침해사고가 발생하면 관계 중앙행정기관의 장과 협력하여 해당 침해사고의 원인을 분석할 수 있다.

② 과학기술정보통신부장관은 정보통신망연결기기등과 관련된 침해사고가 발생하여 국민의 생명ㆍ신체 또는 재산에 위험을 초래할 가능성이 있는 경우 관계 중앙행정기관의 장에게 다음 각 호의 조치를 하도록 요청할 수 있다.

1. 제47조의4제1항에 따른 취약점 점검, 기술 지원 등의 조치

2. 피해 확산을 방지하기 위하여 필요한 조치

3. 그 밖에 정보통신망연결기기등의 정보보호를 위한 제도의 개선

③ 과학기술정보통신부장관은 정보통신망연결기기등과 관련된 침해사고가 발생한 경우 해당 정보통신망연결기기등을 제조하거나 수입한 자에게 제품 취약점 개선 등 침해사고의 확대 또는 재발을 방지하기 위한 조치를 할 것을 권고할 수 있다.

④ 과학기술정보통신부장관은 대통령령으로 정하는 전문기관이 다음 각 호의 사업을 수행하는 데 필요한 비용을 지원할 수 있다.

1. 정보통신망연결기기등과 관련된 정보보호지침 마련을 위한 연구

2. 정보통신망연결기기등과 관련된 시험ㆍ검사ㆍ인증 등의 기준 개선 연구

 

 제48조의6(정보통신망연결기기등에 관한 인증) 

① 과학기술정보통신부장관은 제4항에 따른 인증시험대행기관의 시험 결과 정보통신망연결기기등이 제2항에 따른 인증기준에 적합한 경우 정보보호인증을 할 수 있다.

② 과학기술정보통신부장관은 제1항에 따른 정보보호인증(이하 “정보보호인증”이라 한다)을 위하여 정보통신망의 안정성 및 정보의 신뢰성 확보 등에 관한 인증기준을 정하여 고시할 수 있다.

③ 과학기술정보통신부장관은 정보보호인증을 받은 자가 다음 각 호의 어느 하나에 해당하는 경우에는 그 정보보호인증을 취소할 수 있다. 다만, 제1호에 해당하는 경우에는 그 정보보호인증을 취소하여야 한다.

1. 거짓이나 그 밖의 부정한 방법으로 정보보호인증을 받은 경우

2. 제2항에 따른 인증기준에 미달하게 된 경우

④ 과학기술정보통신부장관은 정보통신망연결기기등이 제2항에 따른 인증기준에 적합한지 여부를 확인하는 시험을 효율적으로 수행하기 위하여 필요한 경우에는 대통령령으로 정하는 지정기준을 충족하는 기관을 인증시험대행기관으로 지정할 수 있다.

⑤ 과학기술정보통신부장관은 제4항에 따라 지정된 인증시험대행기관(이하 “인증시험대행기관”이라 한다)이 다음 각 호의 어느 하나에 해당하면 인증시험대행기관의 지정을 취소할 수 있다. 다만, 제1호에 해당하는 경우에는 그 지정을 취소하여야 한다.

1. 거짓이나 그 밖의 부정한 방법으로 지정을 받은 경우

2. 제4항에 따른 지정기준에 미달하게 된 경우

⑥ 과학기술정보통신부장관은 정보보호인증 및 정보보호인증 취소에 관한 업무를 한국인터넷진흥원에 위탁할 수 있다.

⑦ 정보보호인증ㆍ정보보호인증 취소의 절차 및 인증시험대행기관의 지정ㆍ지정취소의 절차 등에 관하여 필요한 사항은 대통령령으로 정한다.

 

제49조(비밀 등의 보호) 
누구든지 정보통신망에 의하여 처리ㆍ보관 또는 전송되는 타인의 정보를 훼손하거나 타인의 비밀을 침해ㆍ도용 또는 누설하여서는 아니 된다.

 

 제49조의2(속이는 행위에 의한 정보의 수집금지 등) 

① 누구든지 정보통신망을 통하여 속이는 행위로 다른 사람의 정보를 수집하거나 다른 사람이 정보를 제공하도록 유인하여서는 아니 된다.

② 정보통신서비스 제공자는 제1항을 위반한 사실을 발견하면 즉시 과학기술정보통신부장관 또는 한국인터넷진흥원에 신고하여야 한다. 

③ 과학기술정보통신부장관 또는 한국인터넷진흥원은 제2항에 따른 신고를 받거나 제1항을 위반한 사실을 알게 되면 다음 각 호의 필요한 조치를 하여야 한다. 

1. 위반 사실에 관한 정보의 수집ㆍ전파

2. 유사 피해에 대한 예보ㆍ경보

3. 정보통신서비스 제공자에게 다음 각 목의 사항 중 전부 또는 일부를 요청하는 등 피해 예방 및 피해 확산을 방지하기 위한 긴급조치

가. 접속경로의 차단

나. 제1항의 위반행위에 이용된 전화번호에 대한 정보통신서비스의 제공 중지

다. 이용자에게 제1항의 위반행위에 노출되었다는 사실의 통지

④ 과학기술정보통신부장관은 제3항제3호의 조치를 취하기 위하여 정보통신서비스 제공자에게 정보통신서비스 제공자 간 정보통신망을 통하여 속이는 행위에 대한 정보 공유 등 필요한 조치를 취하도록 명할 수 있다. 

⑤ 제3항제3호에 따른 요청을 받은 정보통신서비스 제공자는 이용약관으로 정하는 바에 따라 해당 조치를 할 수 있다. 

⑥ 제5항에 따른 이용약관으로 정하여야 하는 구체적인 사항은 대통령령으로 정한다. 

 

제49조의3(속이는 행위에 사용된 전화번호의 전기통신역무 제공의 중지 등) 

① 경찰청장ㆍ검찰총장ㆍ금융감독원장 등 대통령령으로 정하는 자는 제49조의2제1항에 따른 속이는 행위에 이용된 전화번호를 확인한 때에는 과학기술정보통신부장관에게 해당 전화번호에 대한 전기통신역무 제공의 중지를 요청할 수 있다.

② 제1항에 따른 요청으로 전기통신역무 제공이 중지된 이용자는 전기통신역무 제공의 중지를 요청한 기관에 이의신청을 할 수 있다.

③ 제2항에 따른 이의신청의 절차 등에 필요한 사항은 대통령령으로 정한다.

 

제50조(영리목적의 광고성 정보 전송 제한) 

① 누구든지 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하려면 그 수신자의 명시적인 사전 동의를 받아야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 사전 동의를 받지 아니한다. 

1. 재화등의 거래관계를 통하여 수신자로부터 직접 연락처를 수집한 자가 대통령령으로 정한 기간 이내에 자신이 처리하고 수신자와 거래한 것과 같은 종류의 재화등에 대한 영리목적의 광고성 정보를 전송하려는 경우

2. 「방문판매 등에 관한 법률」에 따른 전화권유판매자가 육성으로 수신자에게 개인정보의 수집출처를 고지하고 전화권유를 하는 경우

② 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하려는 자는 제1항에도 불구하고 수신자가 수신거부의사를 표시하거나 사전 동의를 철회한 경우에는 영리목적의 광고성 정보를 전송하여서는 아니 된다.

③ 오후 9시부터 그 다음 날 오전 8시까지의 시간에 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하려는 자는 제1항에도 불구하고 그 수신자로부터 별도의 사전 동의를 받아야 한다. 다만, 대통령령으로 정하는 매체의 경우에는 그러하지 아니하다.

④ 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하는 자는 대통령령으로 정하는 바에 따라 다음 각 호의 사항 등을 광고성 정보에 구체적으로 밝혀야 한다.

1. 전송자의 명칭 및 연락처

2. 수신의 거부 또는 수신동의의 철회 의사표시를 쉽게 할 수 있는 조치 및 방법에 관한 사항

⑤ 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하는 자는 다음 각 호의 어느 하나에 해당하는 조치를 하여서는 아니 된다.

1. 광고성 정보 수신자의 수신거부 또는 수신동의의 철회를 회피ㆍ방해하는 조치

2. 숫자ㆍ부호 또는 문자를 조합하여 전화번호ㆍ전자우편주소 등 수신자의 연락처를 자동으로 만들어 내는 조치

3. 영리목적의 광고성 정보를 전송할 목적으로 전화번호 또는 전자우편주소를 자동으로 등록하는 조치

4. 광고성 정보 전송자의 신원이나 광고 전송 출처를 감추기 위한 각종 조치

5. 영리목적의 광고성 정보를 전송할 목적으로 수신자를 기망하여 회신을 유도하는 각종 조치

⑥ 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하는 자는 수신자가 수신거부나 수신동의의 철회를 할 때 발생하는 전화요금 등의 금전적 비용을 수신자가 부담하지 아니하도록 대통령령으로 정하는 바에 따라 필요한 조치를 하여야 한다.

⑦ 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하려는 자는 수신자가 제1항에 따른 사전 동의, 제2항에 따른 수신거부의사 또는 수신동의 철회 의사를 표시할 때에는 해당 수신자에게 대통령령으로 정하는 바에 따라 수신동의, 수신거부 또는 수신동의 철회에 대한 처리 결과를 알려야 한다.

⑧ 제1항 또는 제3항에 따라 수신동의를 받은 자는 대통령령으로 정하는 바에 따라 정기적으로 광고성 정보 수신자의 수신동의 여부를 확인하여야 한다.

 

제50조의3(영리목적의 광고성 정보 전송의 위탁 등) 

① 영리목적의 광고성 정보의 전송을 타인에게 위탁한 자는 그 업무를 위탁받은 자가 제50조를 위반하지 아니하도록 관리ㆍ감독하여야 한다. 

② 제1항에 따라 영리목적의 광고성 정보의 전송을 위탁받은 자는 그 업무와 관련한 법을 위반하여 발생한 손해의 배상책임에서 정보 전송을 위탁한 자의 소속 직원으로 본다. 

 

제50조의4(정보 전송 역무 제공 등의 제한) 

① 정보통신서비스 제공자는 다음 각 호의 어느 하나에 해당하는 경우에 해당 역무의 제공을 거부하는 조치를 할 수 있다.

1. 광고성 정보의 전송 또는 수신으로 역무의 제공에 장애가 일어나거나 일어날 우려가 있는 경우

2. 이용자가 광고성 정보의 수신을 원하지 아니하는 경우

3. 삭제 <2014. 5. 28.>

② 정보통신서비스 제공자는 제1항 또는 제4항에 따른 거부조치를 하려면 해당 역무 제공의 거부에 관한 사항을 그 역무의 이용자와 체결하는 정보통신서비스 이용계약의 내용에 포함하여야 한다. 

③ 정보통신서비스 제공자는 제1항 또는 제4항에 따른 거부조치 사실을 그 역무를 제공받는 이용자 등 이해관계인에게 알려야 한다. 다만, 미리 알리는 것이 곤란한 경우에는 거부조치를 한 후 지체 없이 알려야 한다. 

④ 정보통신서비스 제공자는 이용계약을 통하여 해당 정보통신서비스 제공자가 이용자에게 제공하는 서비스가 제50조 또는 제50조의8을 위반하여 영리목적의 광고성 정보전송에 이용되고 있는 경우 해당 역무의 제공을 거부하거나 정보통신망이나 서비스의 취약점을 개선하는 등 필요한 조치를 강구하여야 한다. 

 

 제50조의5(영리목적의 광고성 프로그램 등의 설치) 
정보통신서비스 제공자는 영리목적의 광고성 정보가 보이도록 하거나 개인정보를 수집하는 프로그램을 이용자의 컴퓨터나 그 밖에 대통령령으로 정하는 정보처리장치에 설치하려면 이용자의 동의를 받아야 한다. 이 경우 해당 프로그램의 용도와 삭제방법을 고지하여야 한다.

 

 제50조의6(영리목적의 광고성 정보 전송차단 소프트웨어의 보급 등) 

① 방송통신위원회는 수신자가 제50조를 위반하여 전송되는 영리목적의 광고성 정보를 편리하게 차단하거나 신고할 수 있는 소프트웨어나 컴퓨터프로그램을 개발하여 보급할 수 있다.

② 방송통신위원회는 제1항에 따른 전송차단, 신고 소프트웨어 또는 컴퓨터프로그램의 개발과 보급을 촉진하기 위하여 관련 공공기관ㆍ법인ㆍ단체 등에 필요한 지원을 할 수 있다.

③ 방송통신위원회는 정보통신서비스 제공자의 전기통신역무가 제50조를 위반하여 발송되는 영리목적의 광고성 정보 전송에 이용되면 수신자 보호를 위하여 기술개발ㆍ교육ㆍ홍보 등 필요한 조치를 할 것을 정보통신서비스 제공자에게 권고할 수 있다.

④ 제1항에 따른 개발ㆍ보급의 방법과 제2항에 따른 지원에 필요한 사항은 대통령령으로 정한다.

 

제50조의7(영리목적의 광고성 정보 게시의 제한) 

① 누구든지 영리목적의 광고성 정보를 인터넷 홈페이지에 게시하려면 인터넷 홈페이지 운영자 또는 관리자의 사전 동의를 받아야 한다. 다만, 별도의 권한 없이 누구든지 쉽게 접근하여 글을 게시할 수 있는 게시판의 경우에는 사전 동의를 받지 아니한다.

② 영리목적의 광고성 정보를 게시하려는 자는 제1항에도 불구하고 인터넷 홈페이지 운영자 또는 관리자가 명시적으로 게시 거부의사를 표시하거나 사전 동의를 철회한 경우에는 영리목적의 광고성 정보를 게시하여서는 아니 된다.

③ 인터넷 홈페이지 운영자 또는 관리자는 제1항 또는 제2항을 위반하여 게시된 영리목적의 광고성 정보를 삭제하는 등의 조치를 할 수 있다.

 

제50조의8(불법행위를 위한 광고성 정보 전송금지) 
누구든지 정보통신망을 이용하여 이 법 또는 다른 법률에서 금지하는 재화 또는 서비스에 대한 광고성 정보를 전송하여서는 아니 된다.

 

제51조(중요 정보의 국외유출 제한 등) 

① 정부는 국내의 산업ㆍ경제 및 과학기술 등에 관한 중요 정보가 정보통신망을 통하여 국외로 유출되는 것을 방지하기 위하여 정보통신서비스 제공자 또는 이용자에게 필요한 조치를 하도록 할 수 있다.

② 제1항에 따른 중요 정보의 범위는 다음 각 호와 같다.

1. 국가안전보장과 관련된 보안정보 및 주요 정책에 관한 정보

2. 국내에서 개발된 첨단과학 기술 또는 기기의 내용에 관한 정보

③ 정부는 제2항 각 호에 따른 정보를 처리하는 정보통신서비스 제공자에게 다음 각 호의 조치를 하도록 할 수 있다. 

1. 정보통신망의 부당한 이용을 방지할 수 있는 제도적ㆍ기술적 장치의 설정

2. 정보의 불법파괴 또는 불법조작을 방지할 수 있는 제도적ㆍ기술적 조치

3. 정보통신서비스 제공자가 처리 중 알게 된 중요 정보의 유출을 방지할 수 있는 조치

 

제52조(한국인터넷진흥원) 

① 정부는 정보통신망의 고도화(정보통신망의 구축ㆍ개선 및 관리에 관한 사항은 제외한다)와 안전한 이용 촉진 및 방송통신과 관련한 국제협력ㆍ국외진출 지원을 효율적으로 추진하기 위하여 한국인터넷진흥원(이하 “인터넷진흥원”이라 한다)을 설립한다. 

② 인터넷진흥원은 법인으로 한다. 

③ 인터넷진흥원은 다음 각 호의 사업을 한다. 

1. 정보통신망의 이용 및 보호, 방송통신과 관련한 국제협력ㆍ국외진출 등을 위한 법ㆍ정책 및 제도의 조사ㆍ연구

2. 정보통신망의 이용 및 보호와 관련한 통계의 조사ㆍ분석

3. 정보통신망의 이용에 따른 역기능 분석 및 대책 연구

4. 정보통신망의 이용 및 보호를 위한 홍보 및 교육ㆍ훈련

5. 정보통신망의 정보보호 및 인터넷주소자원 관련 기술 개발 및 표준화

6. 정보보호산업 정책 지원 및 관련 기술 개발과 인력양성

7. 정보보호 관리체계의 인증, 정보보호시스템 평가ㆍ인증, 정보통신망연결기기등의 정보보호인증, 소프트웨어 개발보안 진단 등 정보보호 인증ㆍ평가 등의 실시 및 지원

8. 「개인정보 보호법」에 따른 개인정보 보호를 위한 대책의 연구 및 보호기술의 개발ㆍ보급 지원

9. 「개인정보 보호법」에 따른 개인정보침해 신고센터의 운영

10. 광고성 정보 전송 및 인터넷광고와 관련한 고충의 상담ㆍ처리

11. 정보통신망 침해사고의 처리ㆍ원인분석ㆍ대응체계 운영 및 정보보호 최고책임자를 통한 예방ㆍ대응ㆍ협력 활동

12. 「전자서명법」 제21조에 따른 전자서명인증 정책의 지원

13. 인터넷의 효율적 운영과 이용활성화를 위한 지원

14. 인터넷 이용자의 저장 정보 보호 지원

15. 인터넷 관련 서비스정책 지원

16. 인터넷상에서의 이용자 보호 및 건전 정보 유통 확산 지원

17. 「인터넷주소자원에 관한 법률」에 따른 인터넷주소자원의 관리에 관한 업무

18. 「인터넷주소자원에 관한 법률」 제16조에 따른 인터넷주소분쟁조정위원회의 운영 지원

19. 「정보보호산업의 진흥에 관한 법률」 제25조제7항에 따른 조정위원회의 운영지원

20. 방송통신과 관련한 국제협력ㆍ국외진출 및 국외홍보 지원

21. 제1호부터 제20호까지의 사업에 부수되는 사업

22. 그 밖에 이 법 또는 다른 법령에 따라 인터넷진흥원의 업무로 정하거나 위탁한 사업이나 과학기술정보통신부장관ㆍ행정안전부장관ㆍ방송통신위원회 또는 다른 행정기관의 장으로부터 위탁받은 사업

④ 인터넷진흥원이 사업을 수행하는 데 필요한 경비는 다음 각 호의 재원으로 충당한다.

1. 정부의 출연금

2. 제3항 각 호의 사업수행에 따른 수입금

3. 그 밖에 인터넷진흥원의 운영에 따른 수입금

⑤ 인터넷진흥원에 관하여 이 법에서 정하지 아니한 사항에 대하여는 「민법」의 재단법인에 관한 규정을 준용한다. 

⑥ 인터넷진흥원이 아닌 자는 한국인터넷진흥원의 명칭을 사용하지 못한다. 

⑦ 인터넷진흥원의 운영 및 업무수행에 필요한 사항은 대통령령으로 정한다.