정부가 해킹 사고가 되풀이되는 기업에 대해 매출액의 최대 3%까지 징벌적 과징금을 부과하는 강력한 제재에 나선다.
과학기술정보통신부는 12일 이재명 대통령에게 2026년도 업무계획을 보고하면서 보안 관리에 소홀한 기업을 '일벌백계'하겠다는 내용을 담은 사이버 보안 강화 방안을 발표했다. 반복적으로 침해 사고를 내는 기업에는 징벌적 과징금을 물리고, 사고를 제때 알리지 않거나 재발 방지 대책을 이행하지 않을 경우에도 과태료·이행강제금을 부과하는 것이 골자다.
우선 사이버 침해 사고를 뒤늦게 신고할 때 부과하는 과태료 상한을 현재 3000만원에서 5000만원으로 높이는 방안을 추진한다. 재발 방지 대책을 세우고도 지키지 않는 기업에는 이행강제금을 반복 부과할 수 있도록 제도를 정비한다.
이용자 보호 장치도 강화한다. 해킹이 발생한 기업에 대해 이용자 통지 의무를 부과하고, 내년 상반기 중 피해 사실을 신속히 알릴 수 있는 알림 체계를 구축하기로 했다. 이용자에게 피해 입증 책임이 과도하게 돌아가지 않도록 손해배상 시 증명책임을 완화하고, 단체소송 도입 등 집단 구제 수단도 함께 검토한다. 이 대통령은 업무보고 자리에서 "(피해 국민이) 일일이 다 소송을 하려면 소송비가 더 들게 생겼는데 집단소송을 꼭 도입해야 한다"며 입법을 서둘러 달라고 주문했다.
정부 차원의 선제 대응 능력도 끌어올린다. 지금까지 통신 3사 위주로 실시하던 불시 보안 점검을 주요 플랫폼 기업 등으로 확대하고, AI 기반 위협 정보 공유 체계(AI-ISAC)와 이상 트래픽을 사전에 감지하는 'AI 사이버 쉴드 돔' 개발을 추진한다. 해킹 정황이 포착될 경우 정부가 직접 현장 조사를 나갈 수 있도록 직권 조사 근거를 마련하고, 한국인터넷진흥원(KISA)에 특별사법경찰권을 부여하는 방안도 법무부와 협의 중이다.
과기정통부는 이 같은 대책을 통해 사이버 침해 사고 대응에 걸리는 시간을 현재 평균 약 3개월에서 2028년까지 10일 이내로 단축한다는 목표를 제시했다.
한편 과기정통부는 KT 서버 해킹 사건과 관련해, 2024년에 해킹 정황을 인지하고도 당국에 신고하지 않은 부분에 대해 과태료를 부과할 방침이라고 밝혔다. 다만 이번 조치는 '매출액 3% 이내 징벌적 과징금' 도입 이전에 발생한 사안으로, 새 제재 규정 적용 대상에는 포함되지 않는다.